Informações sobre a vulnerabilidade (CVE-2021-44228)/[CVE-2021-45046 no Apache Log4j 2 (14 de dez. de 2021)]

A Zebra Technologies está seguindo ativamente a vulnerabilidade de segurança no utilitário de código aberto Apache "Log4j 2" (CVE-2021-44228). Atualmente, estamos avaliando o impacto potencial da vulnerabilidade dos produtos e soluções da Zebra. Este é um evento contínuo e continuaremos a fornecer atualizações por meio de nossos canais de comunicação com o cliente. Nossa página de suporte será atualizada para incluir informações relevantes assim que estiverem disponíveis.

Cenário: o utilitário Apache Log4j é um componente comumente usado para solicitações de registro. Em 9 de dezembro de 2021, foi relatada uma vulnerabilidade que pode permitir que um sistema executando Apache Log4j versão 2.14.1 ou inferior seja comprometido e permitir que um invasor execute código arbitrário.

Em 10 de dezembro de 2021, O NIST publicou um alerta crítico de vulnerabilidades e exposição comum, CVE-2021-44228. Mais especificamente, os recursos Java Naming Directory Interface (JNDI) usados na configuração, mensagens de log e parâmetros não protegem contra LDAP controlado por invasor e outros terminais relacionados a JNDI. Um invasor capaz de controlar mensagens de log ou parâmetros de mensagem de log pode executar código arbitrário carregado de servidores remotos quando a substituição de pesquisa de mensagem está habilitada.

CVE-2021-45046 (14 de dez. de 2021)

Descrição: verificou-se que a correção para o lidar com o CVE-2021-44228 no Apache Log4j 2.15.0 era incompleta em certas configurações não padrão. Isso podia permitir a invasores ter o controle sobre os dados de entrada do Thread Context Map (MDC) quando a configuração de registro usar um Layout de Padrão não padrão com uma Pesquisa de Contexto (por exemplo, $${ctx:loginId}) ou um padrão Thread Context Map (%X, %mdc ou %MDC) para criar dados de entrada maliciosos usando um padrão de pesquisa JNDI, resultando em um ataque de negação de serviço (DOS). O Log4j 2.15.0 faz o possível para restringir as pesquisas JNDI LDAP ao host local por padrão. O Log4j 2.16.0 corrige esse problema removendo o suporte para padrões de consulta de mensagens e desabilitando a funcionalidade JNDI por padrão.

O que devo fazer para me proteger?

Encorajamos fortemente os clientes a consultar seus fornecedores de SW e obter patches e atualização o mais rápido possível para todos os aplicativos de SW afetados

Para servidores ou aplicativos desenvolvidos internamente, recomendamos enfaticamente os clientes que gerenciam ambientes que contêm Log4j 2 para atualizar para a versão Log4j 2.15.0 ou mais recente, de acordo com as orientações https://logging.apache.org/log4j/2.x/ do Apache

PÁGINAS DE SUPORTE PARA PRODUTOS IMPACTADOS:

Produto afetado CVE-2021-44228 (Apache Log4j 2) Data CVE-2021-45046 Data
Visibilidade IQ (VIQF) Exposição limitada a esta vulnerabilidade; remediação completa Corrigido
12 de dez. de 2021
Não afetado N/A
SOTI MobiControl v 14.3 to 15.4.1 – Ambientes hospedados Exposição limitada a esta vulnerabilidade. A engenharia está trabalhando ativamente para resolver Corrigido
22 de dez. de 2021
Exposição limitada a esta vulnerabilidade. A engenharia está trabalhando ativamente para resolver Corrigido
22 de dez. de 2021
PTT Pro Windows/Desktop (G1, G2) Após avaliação contínua da vulnerabilidade, os seguintes produtos Workforce Connect (WFC) foram determinados como não afetados pela vulnerabilidade em questão N/A Após avaliação contínua da vulnerabilidade, os seguintes produtos Workforce Connect (WFC) foram determinados como não afetados pela vulnerabilidade em questão N/A
Zebra Enterprise Messaging Após investigação; usando a versão não afetada por esta vulnerabilidade.​​​​​​​ Corrigido
15 de dez. de 2021
Não afetado  N/A
Fetch Exposição limitada a esta vulnerabilidade. Problema mitigado pela engenharia Corrigido
12 de dez. de 2021

Exposição limitada a esta vulnerabilidade. A engenharia está trabalhando ativamente para resolver Após avaliação contínua da vulnerabilidade, determinou-se que este produto não foi afetado.
Reflexis Exposição total a esta vulnerabilidade; a engenharia está trabalhando ativamente para resolver Corrigido 29 de dez. de 2021 Exposição total a esta vulnerabilidade; a engenharia está trabalhando ativamente para resolver
Corrigido 7 de jan. de 2022
Visibility Server Software (ZLS) Após investigação; usando a versão não afetada por esta vulnerabilidade.​​​​​​​ Corrigido
14 de dez. de 2021
Após investigação; usando a versão não afetada por esta vulnerabilidade.​​​​​​​  N/A
MotionWorks Enterprise (ZLS) Vulnerabilidade corrigida pela configuração –Dlog4j2.formatMsgNoLookups=true ao iniciar o JVM. Corrigido
14 de dez. de 2021
Baixo risco – Os componentes que usam o log4j só receberão solicitações quando o usuário for autenticado. Eles não registram entradas arbitrárias do usuário. Corrigido
19 de dez. de 2021
Zebra Profitect (ZPA) Exposição limitada a esta vulnerabilidade. A engenharia excluiu o IntelliJ e Log4J para correção Corrigido
10 de dez. de 2021
Não afetado  N/A
Printer Profile Manager Enterprise (PPME)

Não afetado por essa vulnerabilidade

A versão 3.2.7563 e as versões posteriores removem e/ou atualizam arquivos e componentes relacionados a Log4j.

Acesse a página de suporte.

Atualizado em 8 de fevereiro de 2021

Não afetado por essa vulnerabilidade

A versão 3.2.7563 e as versões posteriores removem e/ou atualizam arquivos e componentes relacionados a Log4j.

Acesse a página de suporte.

Atualizado em 8 de fevereiro de 2021

Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.

Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.



Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?