Informações sobre a vulnerabilidade (CVE-2021-44228)/[CVE-2021-45046 no Apache Log4j 2 (14 de dez. de 2021)]
A Zebra Technologies está seguindo ativamente a vulnerabilidade de segurança no utilitário de código aberto Apache "Log4j 2" (CVE-2021-44228). Atualmente, estamos avaliando o impacto potencial da vulnerabilidade dos produtos e soluções da Zebra. Este é um evento contínuo e continuaremos a fornecer atualizações por meio de nossos canais de comunicação com o cliente. Nossa página de suporte será atualizada para incluir informações relevantes assim que estiverem disponíveis.
Cenário: o utilitário Apache Log4j é um componente comumente usado para solicitações de registro. Em 9 de dezembro de 2021, foi relatada uma vulnerabilidade que pode permitir que um sistema executando Apache Log4j versão 2.14.1 ou inferior seja comprometido e permitir que um invasor execute código arbitrário.
Em 10 de dezembro de 2021, O NIST publicou um alerta crítico de vulnerabilidades e exposição comum, CVE-2021-44228. Mais especificamente, os recursos Java Naming Directory Interface (JNDI) usados na configuração, mensagens de log e parâmetros não protegem contra LDAP controlado por invasor e outros terminais relacionados a JNDI. Um invasor capaz de controlar mensagens de log ou parâmetros de mensagem de log pode executar código arbitrário carregado de servidores remotos quando a substituição de pesquisa de mensagem está habilitada.
CVE-2021-45046 (14 de dez. de 2021)
Descrição: verificou-se que a correção para o lidar com o CVE-2021-44228 no Apache Log4j 2.15.0 era incompleta em certas configurações não padrão. Isso podia permitir a invasores ter o controle sobre os dados de entrada do Thread Context Map (MDC) quando a configuração de registro usar um Layout de Padrão não padrão com uma Pesquisa de Contexto (por exemplo, $${ctx:loginId}) ou um padrão Thread Context Map (%X, %mdc ou %MDC) para criar dados de entrada maliciosos usando um padrão de pesquisa JNDI, resultando em um ataque de negação de serviço (DOS). O Log4j 2.15.0 faz o possível para restringir as pesquisas JNDI LDAP ao host local por padrão. O Log4j 2.16.0 corrige esse problema removendo o suporte para padrões de consulta de mensagens e desabilitando a funcionalidade JNDI por padrão.
O que devo fazer para me proteger?
Encorajamos fortemente os clientes a consultar seus fornecedores de SW e obter patches e atualização o mais rápido possível para todos os aplicativos de SW afetados
Para servidores ou aplicativos desenvolvidos internamente, recomendamos enfaticamente os clientes que gerenciam ambientes que contêm Log4j 2 para atualizar para a versão Log4j 2.15.0 ou mais recente, de acordo com as orientações https://logging.apache.org/log4j/2.x/ do Apache
PÁGINAS DE SUPORTE PARA PRODUTOS IMPACTADOS:
| Produto afetado | CVE-2021-44228 (Apache Log4j 2) | Data | CVE-2021-45046 | Data |
| Visibilidade IQ (VIQF) | Exposição limitada a esta vulnerabilidade; remediação completa | Corrigido 12 de dez. de 2021 |
Não afetado | N/A |
| SOTI MobiControl v 14.3 to 15.4.1 – Ambientes hospedados | Exposição limitada a esta vulnerabilidade. A engenharia está trabalhando ativamente para resolver | Corrigido 22 de dez. de 2021 |
Exposição limitada a esta vulnerabilidade. A engenharia está trabalhando ativamente para resolver | Corrigido 22 de dez. de 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Após avaliação contínua da vulnerabilidade, os seguintes produtos Workforce Connect (WFC) foram determinados como não afetados pela vulnerabilidade em questão | N/A | Após avaliação contínua da vulnerabilidade, os seguintes produtos Workforce Connect (WFC) foram determinados como não afetados pela vulnerabilidade em questão | N/A |
| Zebra Enterprise Messaging | Após investigação; usando a versão não afetada por esta vulnerabilidade. | Corrigido 15 de dez. de 2021 |
Não afetado | N/A |
| Fetch | Exposição limitada a esta vulnerabilidade. Problema mitigado pela engenharia | Corrigido 12 de dez. de 2021 |
Exposição limitada a esta vulnerabilidade. A engenharia está trabalhando ativamente para resolver | Após avaliação contínua da vulnerabilidade, determinou-se que este produto não foi afetado. |
| Reflexis | Exposição total a esta vulnerabilidade; a engenharia está trabalhando ativamente para resolver | Corrigido 29 de dez. de 2021 | Exposição total a esta vulnerabilidade; a engenharia está trabalhando ativamente para resolver | Corrigido 7 de jan. de 2022 |
| Visibility Server Software (ZLS) | Após investigação; usando a versão não afetada por esta vulnerabilidade. | Corrigido 14 de dez. de 2021 |
Após investigação; usando a versão não afetada por esta vulnerabilidade. | N/A |
| MotionWorks Enterprise (ZLS) | Vulnerabilidade corrigida pela configuração –Dlog4j2.formatMsgNoLookups=true ao iniciar o JVM. | Corrigido 14 de dez. de 2021 |
Baixo risco – Os componentes que usam o log4j só receberão solicitações quando o usuário for autenticado. Eles não registram entradas arbitrárias do usuário. | Corrigido 19 de dez. de 2021 |
| Zebra Profitect (ZPA) | Exposição limitada a esta vulnerabilidade. A engenharia excluiu o IntelliJ e Log4J para correção | Corrigido 10 de dez. de 2021 |
Não afetado | N/A |
| Printer Profile Manager Enterprise (PPME) | Não afetado por essa vulnerabilidade A versão 3.2.7563 e as versões posteriores removem e/ou atualizam arquivos e componentes relacionados a Log4j. Acesse a página de suporte. |
Atualizado em 8 de fevereiro de 2021 | Não afetado por essa vulnerabilidade A versão 3.2.7563 e as versões posteriores removem e/ou atualizam arquivos e componentes relacionados a Log4j. Acesse a página de suporte. |
Atualizado em 8 de fevereiro de 2021 |
Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.
Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.
Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?