Correctifs autour de la bibliothèque Apache log4j

Une vulnérabilité a été détectée dans la bibliothèque de journalisation Apache log4j : https://www.cve.org/CVERecord?id=CVE-2021-44228, https://www.cve.org/CVERecord?id=CVE-2021-45046 et https://www.cve.org/CVERecord?id=CVE-2021-45105.

Elle impacte Squash TM, Xsquash Cloud et Squash TF.

Squash TM

Concernant Squash TM, des versions correctives sont disponibles pour toutes les versions maintenues, elles embarquent la mise à jour de log4j vers la version 2.17.

Les versions correctives sont les suivantes :

• 1.21.7 (.tar.gz | .zip)

• 1.22.9 (.tar.gz | .zip)

• 2.0.3 (.tar.gz | .zip)

• 2.1.5 (.tar.gz | .zip)

Ces versions corrigent également la vulnérabilité pour les plugins, y compris les plugins Squash AUTOM et Squash DEVOPS.

Cette mise à jour est iso fonctionnelle, elle est donc transparente pour vos utilisateurs. Si vous êtes en version 1.21, 2.0 ou 2.1, ce correctif nécessite uniquement la mise à jour de l'application.

Pour les versions 1.22, si vous avez une version inférieure à la 1.22.5, alors une mise à jour de la base de données est également nécessaire. Si vous avez la version 1.22.5 ou supérieure, alors seule la mise à jour de l'application est requise.

Toutes les versions de Squash sont impactées, mais seules les versions supportées disposent du correctif. Ainsi, si vous utilisez une version antérieure à la 1.21, nous vous invitons à faire la montée de version à minima vers la 1.21.7.

Nous vous recommandons fortement de faire la montée de version au plus vite. Cette vulnérabilité n'impacte pas les installations Docker.

Xsquash Cloud

De nouvelles versions de Xsquash Cloud pour Jira Cloud sont également disponibles. Si vous disposez d'un Xsquash Cloud hébergé chez Henix, sa mise à jour a déjà été faite par nos services.

Les plugins Xsquash pour Jira Server et Data Center ne sont pas impactés.

Squash TF

Pour Squash TF, voici la procédure à suivre (à faire dans le container dans le cas d'un déploiement Docker) :

1) Télécharger les nouvelles librairies :

• https://search.maven.org/artifact/org.apache.logging.log4j/log4j-core/2.17.0/jar

• https://search.maven.org/artifact/org.apache.logging.log4j/log4j-api/2.17.0/jar

• https://search.maven.org/artifact/org.apache.logging.log4j/log4j-slf4j-impl/2.17.0/jar

2) Dans le répertoire d'installation du serveur / de l'agent se positionner dans le répertoire apache-maven-3.5.0/lib/ext.

Vous devriez avoir quelque chose similaire à ceci :

3) Supprimer les 3 fichiers jar présents et les remplacer par ceux téléchargés.

Les images docker des TF agents ne sont pas impactées :

• squash-tf-execution-agent.docker.2.3.1-RELEASE.tar

• squash-tf-chrome-ui-execution-agent.docker.2.3.1-RELEASE.tar

• squash-tf-firefox-ui-execution-agent.docker.2.3.1-RELEASE.tar

Squash Orchestrator

Squash Orchestrator, et OpenTestFactory qu'il inclut, ne sont pas impactés.