BE-2022-0001: SYNCHRO 4D ProおよびSYNCHRO ProのRenderFarmコンポーネントでのLog4jの使用
Bentley ID: BE-2022-0001
CVE ID: CVE-2021-44228
重大度: 10
CVSS v3.1: 3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
公開日: 2022-02-17
改訂日: 2022-02-17
概要
SYNCHRO 4D ProおよびSYNCHRO ProのRenderFarmコンポーネントには、Log4Shellの脆弱性の影響を受けやすいバージョンのLog4jが含まれています。
詳細
SYNCHRO 4D ProおよびSYNCHRO ProのRenderFarmコンポーネントを使用して、ネットワークを介して分散レンダリングを実行している場合、CVE-2021-44228で説明されているLog4Shellの脆弱性の影響を受ける可能性があります。悪意のある攻撃者がレンダーファームにアクセスし、悪意のあるペイロードを送信することがあります。
影響を受けるバージョン
| 用途 | 影響を受けるバージョン | 軽減されているバージョン |
| SYNCHRO 4D Pro | 6.4.3.2より前のバージョン | 6.4.3.2以降 |
| SYNCHRO Pro | 6.1~6.2.3、および6.3 | 6.2.4.2 |
推奨される軽減策
RenderFarmコンポーネントを使用しているお客様はごく少数に限られます。このコンポーネントを使用していないお客様に危険はありません。必要に応じて、SYNCHRO 4D ProおよびSYNCHRO Proの機能に影響を与えることなく、Log4j jarファイルを安全に削除できます。https://communities.bentley.com/products/construction/w/construction__wiki/57908/に記載の手順に従ってください。Bentleyでは、SYNCHRO 4D Proを最新バージョンにアップデートすることを推奨しています。新しいバージョンにはこのコンポーネントは含まれません。SYNCHRO 4D Proは、SYNCHRO Proの後継品です。
謝辞
改訂履歴
| 日付 | 製品名 |
| 2022-02-17 | この勧告の初版 |
