[IMPORTANT] Vulnérabilité Apache Log4j

Qu’est-ce que la vulnérabilité Apache Log4j et quels sont les risques ?

Une vulnérabilité Java dans Log4J2 qui permet l’exécution de code à distance et peut entraîner une perte de contrôle du système a été identifiée comme ayant un impact sur les produits Tableau.

Nous avons un aperçu détaillé du problème et des risques de sécurité qu’il peut poser aux utilisateurs de Tableau dans notre article de blog ici.

Quelles recommandations Tableau a-t-il fournies pour atténuer la vulnérabilité Log4j 

Suite à l’identification de la faille de sécurité dans Apache Log4J2, Tableau a proposé deux options pour adresser le risque :

1. Mettre à niveau vers la dernière version de maintenance pour chaque produit Tableau – Option 1 dans cet article de la base de connaissances
2. Mettre en œuvre une modification de sécurité temporaire – Option 2 dans  cet article de la base de connaissances

Sur quels produits Tableau ces correctifs s’appliquent-ils ?

La principale recommandation est de mettre à niveau tous les produits vers la dernière version de maintenance disponible. Une version de maintenance mise à jour est disponible pour toutes les versions du produit à partir de la 2020.4 et supérieures :

• Tableau Server (versions 2020.4 et supérieures)
• Tableau Desktop (versions 2020.4 et supérieures)
• Tableau Prep (versions 2020.4 et supérieures)
• Tableau Bridge (versions 2020.4 et supérieures)
• Tableau Reader

La recommandation alternative peut être utilisée comme un correctif temporaire au lieu d’une mise à niveau vers la dernière version, mais comme cela est temporaire, l’objectif doit être de mettre à niveau les produits lorsque cela est possible. Cette recommandation secondaire s’applique uniquement aux produits suivants :

• Tableau Server sur Windows
• Tableau Server sur Linux
• Tableau Desktop sur Windows
• Tableau Desktop sur MacOS

Actions recommandées

Annonces officielles

Continuez à suivre les annonces officielles de Salesforce sur ce problème ici https://status.salesforce .com/generalmessages/826

Test des failles sur votre serveur

Avant d’effectuer une mise à niveau sur votre Tableau Server, il est important de vérifier si les environnements Tableau ont déjà été compromis par la vulnérabilité Apache Log4j. Veuillez consulter notre article de blog ici pour plus de détails sur la surveillance des violations.

Si vous trouvez la confirmation que votre système a été compromis, nous vous recommandons d’utiliser le script d’effacement de Tableau avant d’installer la dernière version de Tableau Server et d’utiliser vos sauvegardes pour restaurer votre environnement.

Implémenter le correctif de maintenance pour tous les produits Tableau

En raison du risque élevé associé à cette faille de sécurité, il est recommandé de mettre à niveau tous les produits Tableau dès que possible ou de mettre en œuvre des étapes d’atténuation comme décrit dans l’option 2 de l’article de la base de connaissances ci-dessus.

La dernière version de maintenance pour les versions de Tableau Server est disponible ici :

• Tableau Server v200.4
• Tableau Server v2021.1
• Tableau Server v2021.2
• Tableau Server v2021.3
• Tableau Server v2021.4

La dernière version de maintenance pour les versions de Tableau Desktop est disponible ici :

• Tableau Desktop v200.4
• Tableau Desktop v2021.1
• Tableau Desktop v2021.2
• Tableau Desktop v2021.3
• Tableau Desktop v2021.4

La dernière version de maintenance pour les versions de Tableau Prep est disponible ici :

• Tableau Prep v200.4
• Tableau Prep v2021.1
• Tableau Prep v2021.2
• Tableau Prep v2021.3
• Tableau Prep v2021.4

La dernière version de maintenance des versions de Tableau Bridge est disponible ici :

• Tableau Bridge v2021.4

La dernière version de Tableau Reader est disponible ici :

• Tableau Reader

Si vous utilisez un produit Tableau en version 2020.3 ou antérieure, cette version n’est plus sous Maintenance de support Tableau, et pour utiliser ce correctif de sécurité, vous devrez effectuer une mise à niveau vers la v200.4 ou une version ultérieure. Vous pouvez également implémenter le correctif temporaire (Option 2) pour vos environnements Tableau Server pendant que vous planifiez un chemin de mise à niveau.

Questions fréquemment posées

Comment puis-je me préparer à une mise à niveau de Tableau Server ?

Tableau fournit un diagramme décrivant les étapes clés de la préparation d’une mise à niveau de vos serveurs. La page d’aide pour les serveurs Windows peut être trouvée ici, et pour les serveurs Linux peut être trouvée ici.

Quelles sont les étapes pour effectuer une mise à niveau de Tableau Server ?

Tableau fournit un diagramme décrivant les étapes clés de la mise à niveau de vos serveurs. La page d’aide pour Tableau Server versions 2018.2 et supérieures pour les serveurs Windows est disponible ici et pour les serveurs Linux ici.

Comment puis-je résoudre un échec de mise à niveau de Tableau Server ?

Si vous rencontrez des problèmes lors de la mise à niveau, vous pouvez vous reporter aux étapes de dépannage des mises à niveau qui se trouvent ici pour les serveurs Windows et ici pour les serveurs Linux.

Si une mise à niveau échoue, cela peut avoir un impact sur toute tentative de mise à niveau ultérieure. Dans ces situations, il est possible d’utiliser le script Obliterate de Tableau pour supprimer l’installation ayant échoué afin de vous permettre d’effectuer une nouvelle installation et une restauration. La documentation sur le script Obliterate peut être trouvée ici pour le serveur Windows et ici pour les serveurs Linux.

 
Remarque importante – assurez-vous d’avoir une copie sécurisée enregistrée dans un emplacement séparé de votre environnement Tableau pour la sauvegarde des données (backup.tsbak) et la sauvegarde de la configuration (settings.json) ainsi que tous les fichiers secondaires et détails de compte utilisateur qui sont requis pour récupérer votre système avant de lancer le processus de mise à niveau ou d’effacement.