Atualização no Apache Log4j

Atualização em 17/12/2021

A Pitney Bowes tem trabalhado diligentemente para resolver o problema de segurança relacionado ao utilitário Apache Log4j2 de código aberto (CVE-2021-44228 e CVE-2021-45056). Fizemos um inventário de nossos sistemas, incluindo nossos produtos, para identificar onde essas vulnerabilidades podem existir. Conforme necessário, corrigimos a vulnerabilidade atualizando para a versão mais recente do Log4j ou aplicamos pacotes adicionais de segurança. Esses pacotes adicionais incluem alterações na configuração do Log4j para desabilitar a funcionalidade explorável e camadas de controles adicionais, como controles de rede e firewalls de aplicativos da web, para evitar que a vulnerabilidade seja explorada.

Até onde sabemos, nenhum cliente da Pitney Bowes ou dados de clientes foram afetados.

  • Tecnologias de Postagem
    Nossos medidores de e-mail físicos nunca foram vulneráveis ​​e não contêm o software Log4j2. A família SendPro de soluções e produtos de criação de email que continham o software Log4j2 foram corrigidos e não são mais vulneráveis. Por precaução, estamos trabalhando para atualizar qualquer um de nossos produtos de remessa e correspondência legados que contenham uma versão mais antiga do Log4j2, mas nenhum é vulnerável ao CVE-2021-44228.

  • Comércio eletrônico global
    Os serviços de entrega, devolução, transfronteiriço e de execução não são vulneráveis. Os produtos que continham o software Log4j2 foram corrigidos. Por precaução, estamos trabalhando para atualizar produtos que contêm uma versão mais antiga do Log4j2, mas nenhum é vulnerável ao CVE-2021-44228.

  • Presort
    Os produtos e serviços do Presort não são vulneráveis.

Continuamos em alerta máximo. Nosso centro de operações de segurança dedicado monitora e analisa continuamente nossos controles, logs e alertas em tempo real para qualquer comportamento incomum ou tráfego de rede, bem como executa varreduras frequentes para todos os nossos produtos e infraestrutura. Continuamos a trabalhar em estreita colaboração com nossos fornecedores e parceiros terceirizados para garantir que eles estejam fornecendo os patches necessários e atualizando seus sistemas de acordo.

Forneceremos atualizações adicionais aos nossos clientes, conforme garantido.

 

Atualização em 15/12/2021

A Pitney Bowes está ciente do problema de segurança divulgado recentemente relacionado ao Apache Log4j2 de código aberto (CVE-2021-44228). Fizemos um inventário de nossos sistemas, incluindo nossos produtos, para identificar onde o CVE-2021-44228 pode existir e validamos se os controles estão em vigor enquanto a vulnerabilidade está sendo corrigida. Estamos implantando ativamente patches e atualizações e trabalhando com fornecedores e provedores de serviços para garantir que estejam atualizando seus sistemas. Nosso centro de operações de segurança continua monitorando qualquer comportamento incomum ou tráfego de rede suspeito. Nos comprometemos a garantir que nossos clientes estejam sempre informados.