Atualização no Apache Log4j
Atualização em 17/12/2021
A Pitney Bowes tem trabalhado diligentemente para resolver o problema de segurança relacionado ao utilitário Apache Log4j2 de código aberto (CVE-2021-44228 e CVE-2021-45056). Fizemos um inventário de nossos sistemas, incluindo nossos produtos, para identificar onde essas vulnerabilidades podem existir. Conforme necessário, corrigimos a vulnerabilidade atualizando para a versão mais recente do Log4j ou aplicamos pacotes adicionais de segurança. Esses pacotes adicionais incluem alterações na configuração do Log4j para desabilitar a funcionalidade explorável e camadas de controles adicionais, como controles de rede e firewalls de aplicativos da web, para evitar que a vulnerabilidade seja explorada.
Até onde sabemos, nenhum cliente da Pitney Bowes ou dados de clientes foram afetados.
- Tecnologias de Postagem
Nossos medidores de e-mail físicos nunca foram vulneráveis e não contêm o software Log4j2. A família SendPro de soluções e produtos de criação de email que continham o software Log4j2 foram corrigidos e não são mais vulneráveis. Por precaução, estamos trabalhando para atualizar qualquer um de nossos produtos de remessa e correspondência legados que contenham uma versão mais antiga do Log4j2, mas nenhum é vulnerável ao CVE-2021-44228.
- Comércio eletrônico global
Os serviços de entrega, devolução, transfronteiriço e de execução não são vulneráveis. Os produtos que continham o software Log4j2 foram corrigidos. Por precaução, estamos trabalhando para atualizar produtos que contêm uma versão mais antiga do Log4j2, mas nenhum é vulnerável ao CVE-2021-44228.
- Presort
Os produtos e serviços do Presort não são vulneráveis.
Continuamos em alerta máximo. Nosso centro de operações de segurança dedicado monitora e analisa continuamente nossos controles, logs e alertas em tempo real para qualquer comportamento incomum ou tráfego de rede, bem como executa varreduras frequentes para todos os nossos produtos e infraestrutura. Continuamos a trabalhar em estreita colaboração com nossos fornecedores e parceiros terceirizados para garantir que eles estejam fornecendo os patches necessários e atualizando seus sistemas de acordo.
Forneceremos atualizações adicionais aos nossos clientes, conforme garantido.
Atualização em 15/12/2021
A Pitney Bowes está ciente do problema de segurança divulgado recentemente relacionado ao Apache Log4j2 de código aberto (CVE-2021-44228). Fizemos um inventário de nossos sistemas, incluindo nossos produtos, para identificar onde o CVE-2021-44228 pode existir e validamos se os controles estão em vigor enquanto a vulnerabilidade está sendo corrigida. Estamos implantando ativamente patches e atualizações e trabalhando com fornecedores e provedores de serviços para garantir que estejam atualizando seus sistemas. Nosso centro de operações de segurança continua monitorando qualquer comportamento incomum ou tráfego de rede suspeito. Nos comprometemos a garantir que nossos clientes estejam sempre informados.