Mise à jour Apache Log4j

Mise à jour du 17/12/2021

Pitney Bowes a travaillé avec diligence pour résoudre le problème de sécurité lié à l’utilitaire open-source Apache Log4j2 (CVE-2021-44228 & CVE-2021-45056). Nous avons inventorié nos systèmes, y compris nos produits, afin d’identifier où ces vulnérabilités peuvent exister. Le cas échéant, nous avons soit corrigé la vulnérabilité en mettant à jour la dernière version de Log4j, soit appliqué des mesures d’atténuation supplémentaires temporaires. Ces mesures d’atténuation supplémentaires comprennent des modifications de la configuration de Log4j pour désactiver la fonctionnalité exploitable et des couches de contrôle supplémentaires, comme des contrôles de réseau et des pare-feu d’application web, pour empêcher l’exploitation de cette vulnérabilité.

À notre connaissance, aucun client de Pitney Bowes ni aucune donnée client n’ont été touchés.

 

  • Sending Technologies
    Nos compteurs postaux physiques n’ont jamais été vulnérables et ne contiennent pas de logiciel Log4j2. La famille de solutions SendPro et les produits de création de courrier qui contenaient le logiciel Log4j2 ont été corrigés et ne sont plus vulnérables. Par excès de prudence, nous mettons à niveau tous nos anciens produits d’expédition de colis et d’envoi de courrier qui contiennent une ancienne version de Log4j2. Cependant, aucun n’est vulnérable à CVE-2021-44228.

  • Tri préliminaire
    Les produits et services de pré-tri ne sont pas vulnérables.

Nous restons en alerte. Notre centre d’activités liées à la sécurité spécialisé surveille et examine en permanence nos contrôles, journaux et alertes en temps réel pour détecter tout comportement ou trafic réseau inhabituel, et effectue des analyses fréquentes de tous nos produits et infrastructures. Nous continuons à travailler en étroite collaboration avec nos partenaires et fournisseurs tiers pour nous assurer qu’ils fournissent les correctifs nécessaires et mettent à jour leurs systèmes en conséquence.

Nous fournirons des mises à jour supplémentaires à nos clients au besoin.

 

Mise à jour du 15/12/2021

Pitney Bowes a pris connaissance du problème de sécurité récemment signalé concernant l'utilitaire à code source libre Apache Log4j2 (CVE-2021-44228). Nous avons procédé à l'inventaire de nos systèmes et de nos produits afin d'identifier les endroits où CVE-2021-44228 peut être utilisé, et nous nous sommes assurés que des contrôles sont en place pendant que la vulnérabilité est corrigée. Nous déployons activement des programmes de correction et des mises à jour, et collaborons avec les fournisseurs et les prestataires de services pour nous assurer qu'ils mettent à jour leurs systèmes. Notre centre d'activités liées à la sécurité continue de surveiller tout comportement ou trafic inhabituel sur le réseau. Nous fournirons des mises à jour à nos clients au besoin.