Informations concernant Apache Log4j

Mise à jour du 17/12/2021

Pitney Bowes a travaillé avec diligence pour résoudre le problème de sécurité lié à Apache Log4j2 (CVE-2021-44228 & CVE-2021-45056). Nous avons procédé à l'inventaire de nos systèmes, y compris nos produits, afin d'identifier où les vulnérabilités peuvent exister.  Le cas échéant, nous avons soit corrigé la vulnérabilité en passant à la dernière version de Log4j, soit appliqué des mesures de prévention supplémentaires dans l'intervalle.  Ces mesures de prévention supplémentaires comprennent des modifications de la configuration de Log4j afin de désactiver la fonctionnalité exploitable et des mesures de contrôle supplémentaires, telles que des contrôles de réseau et des pare-feux d'application Web, pour empêcher l'exploitation de la vulnérabilité.

À notre connaissance, aucun client ou donnée client de Pitney Bowes n'a été touché.

  • Sending Technologies
    Nos machines à affranchir n'ont jamais été vulnérables et ne contiennent pas de logiciel Log4j2. La famille de solutions SendPro et les produits de création de courrier qui contenaient le logiciel Log4j2 ont été assainis et ne sont plus vulnérables. Par précaution, nous travaillons à la mise à niveau de tous nos anciens produits d'expédition et de courrier qui contiennent une ancienne version de Log4j2, mais aucun n'est vulnérable à CVE-2021-44228.


  • Global Ecommerce
    Les services de livraison, de retour, transfrontaliers et d'exécution ne sont pas vulnérables. Les produits qui contenaient le logiciel Log4j2 ont été corrigés. Par précaution, nous travaillons à la mise à niveau des produits qui contiennent une ancienne version de Log4j2, mais aucun n'est vulnérable à CVE-2021-44228.


  • Presort
    Les produits et services Presort ne sont pas vulnérables.

Nous restons en état d'alerte. Notre service dédié en charge des opérations de sécurité surveille et examine en permanence nos contrôles, journaux et alertes en temps réel pour détecter tout comportement ou trafic réseau inhabituel et effectue des analyses fréquentes de tous nos produits et infrastructures. Nous continuons à travailler en étroite collaboration avec nos partenaires et prestataires pour nous assurer qu'ils fournissent les correctifs nécessaires et mettent à jour leurs systèmes en conséquence.

Des informations actualisées seront communiquées à nos clients si nécessaire.

 

Mise à jour du 15/12/2021

Pitney Bowes a été informé du problème de sécurité récemment signalé à propos d’Apache Log4j2 (CVE-2021-44228). Nous avons procédé à l'inventaire de nos systèmes, y compris de nos produits, afin d'identifier les zones où CVE-2021-44228 pourrait exister et confirmons que des contrôles sont en place alors que la vulnérabilité est en cours de résolution. Nous déployons activement des correctifs et des mises à jour et travaillons avec les prestataires et les fournisseurs de services pour nous assurer qu'ils mettent à jour leurs systèmes. Notre service en charge des opérations de sécurité continue de surveiller tout comportement ou flux de données inhabituels sur le réseau. Des informations actualisées seront communiquées à nos clients si nécessaire.