Versión del software Biostar 2 afectada: v2.6.0 ~ 2.8.13

Fecha de actualización: 2021-12-21

 

Estimados Socios,

 

Nos gustaría abordar el impacto y la resolución de la reciente vulnerabilidad causada por log4j2 en BioStar 2.

 

El problema es que log4j2 puede estar expuesto a un posible código malicioso que se puede ejecutar desde un ataque externo.

[Enlace a los detalles de la vulnerabilidad]

 

Esta es una vulnerabilidad causada por log4j2 que BioStar 2 también utiliza.

Existe la necesidad de bloquear este problema y proporcionamos una solución inmediata y permanente de la siguiente manera.

 

<1>

Un simple reinicio del servidor después de reemplazar el archivo de configuración proporcionado (enlace a continuación) en la carpeta raíz de BioStar 2, la función de búsqueda que causa el problema ya no se utilizará en los registros internos de BioStar 2.

 

Cómo aplicar el archivo de revisión

1. Detenga todos los servicios del servidor BioStar 2

 

2. Descargue el archivo de ruta desde el siguiente enlace

log4j2.yml [Enlace al archivo de configuración]

 

3. Copie el archivo log4j2.yml en C:\Archivos de programa\BioStar 2(x64)  (64 bits) o  C:\Archivos de programa\BioStar 2  (32 bits), que se encuentra con la aplicación BioStar 2 Server.

 

4. Inicie todos los servicios del servidor BioStar 2

 

<2>

Suprema también proporcionará un nuevo BioStar 2 v2.8.14. 74  el cual tiene la biblioteca log4j2 actualizada a v2.16.0  donde la vulnerabilidad se resuelve oficialmente.

 

Enlace de descarga: https://www.supremainc.com/en/support/biostar-2-package.asp

 

Si tiene alguna consulta sobre este asunto, no dude en ponerse en contacto con bs2support@supremainc.com.

 

 

Preguntas Frecuentes

Pregunta #1:

Estamos utilizando Suprema BioStar versión 1.93. ¿Podría informarnos si se ve afectado por nuestra versión actual?

 

Respuesta #1:

BioStar 1.93 y la versión anterior del software BioStar 1 se basan en la programación en C++. No hay ningún impacto de la vulnerabilidad log4j2.

 

Pregunta #2:

¿Debo eliminar el log4j2.yml existente en  C:\Archivos de programa\BioStar 2(x64)  (64 bits) o  C:\Archivos de programa\BioStar 2  (32 bits)?

 

Respuesta #2:

Puede sobrescribir el archivo o reemplazarlo en el archivo de revisión desde el siguiente enlace.

log4j2.yml [Enlace al archivo de configuración]

 

Pregunta #3:

Tengo un software bioStar 2 antiguo. ¿Debo usar el archivo de parche y seguir las directrices?

 

Respuesta #3:

BioStar 2.5 o una versión inferior no utiliza java, por lo que no entra dentro de la vulnerabilidad relacionada.

Versión de BioStar 2 afectada

Versión log4j   utilizada

BioStar 2.6 ~ BioStar 2.8.13

log4j(2.10~2.14.1)

 

 

 

Sinceramente

 

Equipo de seguridad de Suprema