Versión del software Biostar 2 afectada: v2.6.0 ~ 2.8.13

Fecha de actualización: 2022-1-6

 

Estimados Socios,

 

Nos gustaría abordar el impacto y la resolución de la reciente vulnerabilidad causada por log4j2 en BioStar 2.

 

El problema es que log4j2 puede estar expuesto a un posible código malicioso que se puede ejecutar desde un ataque externo.

[Enlace a los detalles de la vulnerabilidad]

 

Esta es una vulnerabilidad causada por log4j2 que BioStar 2 también utiliza.

Existe la necesidad de bloquear este problema y proporcionamos una solución inmediata y permanente de la siguiente manera.

 

<1>

Un simple reinicio del servidor después de reemplazar el archivo de configuración proporcionado (enlace a continuación) en la carpeta raíz de BioStar 2, la función de búsqueda que causa el problema ya no se utilizará en los registros internos de BioStar 2.

 

Cómo aplicar el archivo de revisión

1. Detenga todos los servicios del servidor BioStar 2

 

2. Descargue el archivo de ruta desde el siguiente enlace

log4j2.yml [Enlace al archivo de configuración]

 

3. Copie el archivo log4j2.yml en C:\Archivos de programa\BioStar 2(x64)  (64 bits) o  C:\Archivos de programa\BioStar 2  (32 bits), que se encuentra con la aplicación BioStar 2 Server.

 

4. Inicie todos los servicios del servidor BioStar 2

 

<2>

Suprema también proporcionará un nuevo BioStar 2 v2.8.14. 74  el cual tiene la biblioteca log4j2 actualizada a v2.16.0  donde la vulnerabilidad se resuelve oficialmente.

 

Enlace de descarga: https://www.supremainc.com/en/support/biostar-2-package.asp

 

Si tiene alguna consulta sobre este asunto, no dude en ponerse en contacto con bs2support@supremainc.com.

 


Cómo actualizar la versión de BioStar 2 
BioStar 2 soporta una actualización directa de 2.6 a la última versión. si su versión de BioStar 2 es 2.6 o superior, puede descargar la última versión y realizar una actualización. Sin embargo, no puede actualizar desde una versión muy antigua como la 2.0 o 2.5 en una sola actualización porque el proceso no es soportado. Consulte el artículo a continuación para realizar una actualización secuencialmente.
[BioStar 2] How to Upgrade BioStar 2 Server

No necesita desinstalar el servidor de BioStar 2 existente, ejecute el archivo de instalación para actualizar su sistema. Por favor realice una copia de seguridad de la base de datos, archivos setting.conf, system.conf y enckey antes de ejecutar el archivo de instalación de BioStar 2.



 

Preguntas Frecuentes

Pregunta #1:

Estamos utilizando Suprema BioStar versión 1.93. ¿Podría informarnos si se ve afectado por nuestra versión actual?

 

Respuesta #1:

BioStar 1.93 y la versión anterior del software BioStar 1 se basan en la programación en C++. No hay ningún impacto de la vulnerabilidad log4j2.

 

Pregunta #2:

¿Debo eliminar el log4j2.yml existente en  C:\Archivos de programa\BioStar 2(x64)  (64 bits) o  C:\Archivos de programa\BioStar 2  (32 bits)?

 

Respuesta #2:

Puede sobrescribir el archivo o reemplazarlo en el archivo de revisión desde el siguiente enlace.

log4j2.yml [Enlace al archivo de configuración]

 

Pregunta #3:

Tengo un software bioStar 2 antiguo. ¿Debo usar el archivo de parche y seguir las directrices?

 

Respuesta #3:

BioStar 2.5 o una versión inferior no utiliza java, por lo que no entra dentro de la vulnerabilidad relacionada.

Versión de BioStar 2 afectada

Versión log4j   utilizada

BioStar 2.6 ~ BioStar 2.8.13

log4j(2.10~2.14.1)

 

 

Pregunta #4:

log4j2 2.16 tiene una vulnerabilidad de DOS vulnerability que se corrigió en la versión 2.17.0, ¿Se cambiará a esta versión en lugar de la 2.16.0?

Respuesta #4:

CVE-2021-45105 con Log4j 2.16.0


Este caso es una vulnerabilidad que puede ocurrir por los siguientes dos puntos

1. Si el patrón en log4j2.yml se establece de la siguiente manera:

Cuando se establece ${ctx:loginId} o $${ctx:loginId} en ‘PatternLayout’

2. En caso de desarrollo utilizando la sintaxis ThreadContext.put


Actualmente, BioStar 2 no se incluye en los dos puntos anteriores, por lo que no lo aplicaremos a la versión actual.

La actualización a log4j2 versión 2.17 se aplicará a BioStar 2.8.15. BioStar 2.8.15 se lanzaría en abril de 2022.



Pregunta #5:

Necesito actualizar la versión de log4j2 a 2.17.0 por razones de seguridad de nuestra herramienta de seguridad utilizada.

¿Podríamos tener la información de la versión actualizada?

Respuesta #5:

Tenemos un archivo de parche de BioStar 2.8.14. Por favor genere un ticket en nuestra página de soporte técnico si necesita tener el archivo de parche basado en BioStar 2.8.14.



Pregunta #6:

"Suprema Fingerprint Scanner Driver 1" no se ve afectado?

Respuestar #6:

Suprema Fingerprint Scanner Driver no se ve afectado. 



Pregunta #7:

¿Podría informarme si hay algún impacto de la vulnerabilidad de log4j en el software de BioConnect?

Respuesta #7:

El Software de BioConnect Software no se ve afectado po la vulnerabilidad LO4J CVE-2021-14228. La vulnerabilidad log4j que se identificó el 9 de Diciembre de 2021 y cuyos detalles se pueden encontrar en la referencia CVE - 2021-44228 no afecta a 

BioConnect Enterprise ni a BioConnect Link. Log4j es utilizado por programas que se desarrollan con JAVA y no se utiliza en ninguna de las soluciones del software de BioConnect.


 

Sinceramente

 

Equipo de seguridad de Suprema