Information concernant Moovapps et les autres logiciels développés par Visiativ

Achtung

Le CERT-FR et l’ANSSI ont signalé le 10 décembre 2021 une importante vulnérabilité de sécurité dans une librairie très communément utilisée dans tous les projets et logiciels développés en Java. Cette vulnérabilité, identifiée dans la librairie Apache Log4j utilisée pour la journalisation, est susceptible de permettre à des cyberattaquants de prendre le contrôle des systèmes d’information (https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/ – mise à jour le 16/12/21).

Cette vulnérabilité, également appelée « log4shell », est causée par une fonctionnalité de Log4j introduite dans les versions 2.x permettant, par l’interprétation d’une chaîne de caractère dans un message journalisé, de se connecter à un site distant sans authentification ou d’exécuter du code directement.

Il s’agit d’une vulnérabilité de sécurité d’ampleur mondiale et classée de niveau 10 par la fondation Apache.

 

STATUT POUR LES LOGICIELS DASSAULT SYSTEMES

Dès diffusion de cette alerte et suite aux investigations menées par ses propres équipes de cybersécurité, la société Dassault Systèmes a mis en œuvre des actions de remédiation et a communiqué vers ses clients par l’intermédiaire de sa base de connaissance.

Le tableau ci-dessous résume les impacts de cette vulnérabilité sur ses logiciels, tels que communiqués par Dassault Systèmes.

Point de situation concernant les logiciels de Dassault Systèmes

Solution Action à réaliser
3DEXPERIENCE SaaS Exécution d’une mise à jour à réaliser (HF0.4) pour chaque utilisateur
3DEXPERIENCE On Premise Selon la version – Consulter la Knowledge Base de Dassault Systèmes ou contacter le support Visiativ (support@mycadservices.com)
Suites logicielles SolidWorks et PDM Non concernées – aucune action à réaliser
SmarTeam Selon la version – Consulter la Knowledge Base de Dassault Systèmes ou contacter le support Visiativ (support@mycadservices.com)

Situation mise à jour le 20/12/2021 à 16h00

Ce tableau sera mis à jour au fur et à mesure des informations communiquées par Dassault Systèmes.

Dans le cas où vous vous appuieriez sur les actions préconisées par Dassault Systèmes dans l’article de sa Knowledge Base, il vous est fortement recommandé de consulter régulièrement cet article pour vous assurer que les actions à réaliser n’ont pas été modifiées et n’ont pas été enrichies pas des actions complémentaires.

STATUT POUR LES AUTRES SOLUTIONS VISIATIV

Concernant les outils connexes aux logiciels Dassault Systèmes développés par VISIATIV (myCadServices, my3Dplayer, myCADplace, myProduct, myCADtools, myApps), ils ne sont pas concernés par cette vulnérabilité.

Pour obtenir de plus amples détails vous pouvez consulter les liens suivants :

https://www.lynkoa.com/actualites/information-produit-faille-de-s%C3%A9curit%C3%A9-d%C3%A9tect%C3%A9e-sur-la-librairie-log4j

https ://www.mymoovapps.net/actualites/vulnerabilite-dans-apache-log4j

Il en est de même pour les développements spécifiques réalisés par VISIATIV dans les projets.

La protection de vos données est notre priorité et nos équipes travaillent continuellement afin de vous apporter des services toujours plus fiables et sécurisés.