Apache Log4j 2 漏洞 (CVE-2021-44228) 相关信息 / [CVE-2021-45046 (2021 年 12 月 14 日)]
Zebra Technologies 正在积极关注开源 Apache“Log4j 2”实用工具 (CVE-2021-44228) 中的安全漏洞。)我们目前正在评估该漏洞对 Zebra 产品和解决方案的潜在影响。这是一个持续的事件,我们将继续通过我们的客户沟通渠道提供更新。如有可用的相关信息,我们将在支持页面上予以更新。
背景:Apache Log4j 实用工具是用于记录请求的常用组件。2021 年 12 月 9 日报告了一个漏洞,该漏洞允许系统运行 Apache Log4j 版本 2.14.1 或更低版本,从而使系统受到入侵,并允许攻击者执行任意代码。
2021 年 12 月 10 日,NIST 发布了一项重要常见漏洞和暴露提醒,CVE-2021-44228。更具体地说,配置、日志消息和参数中使用的 Java 命名目录接口 (JNDI) 功能无法防范攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时,能够控制日志消息或日志消息参数的攻击者可以执行从远程服务器加载的任意代码。
CVE-2021-45046 (2021 年 12 月 14 日)
说明:经发现,Apache Log4j 2.15.0 中 CVE-2021-44228 的修复程序在某些非默认配置中不完整。当日志配置使用非默认模式布局和上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)时,这可允许攻击者控制线程上下文映射 (MDC) 输入数据,以使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。默认情况下,Log4j 2.15.0 尽力将 JNDI LDAP 查找限制在本地主机。Log4j 2.16.0 通过删除对消息查找模式的支持和默认禁用 JNDI 功能来修复此问题。
我该如何保护自己?
我们强烈建议客户咨询相关的软件供应商,并尽快为所有受影响的软件应用程序获取补丁和更新
对于内部开发的服务器或应用程序,我们强烈建议管理包含 Log4j 2 的环境的客户根据 Apache 的指南更新到版本 Log4j 2.15.0 或更高版本 https://logging.apache.org/log4j/2.x/
受影响产品的支持页面:
| 受影响的产品 | CVE-2021-44228 (Apache Log4j 2) | 日期 | CVE-2021-45046 | 日期 |
| Visibility IQ (VIQF) | 此漏洞的暴露风险有限;已完成修复 | 已修复 2021 年 12 月 12 日 |
不受影响 | N/A |
| SOTI MobiControl v 14.3 至 15.4.1 - 托管环境 | 此漏洞的暴露风险有限。工程部正在积极解决问题 | 已修复 2021 年 12 月 22 日 |
此漏洞的暴露风险有限。工程部正在积极解决问题 | 已修复 2021 年 12 月 22 日 |
| PTT Pro Windows/桌面 (G1, G2) | 在持续评估漏洞后,我们已确定以下 Workforce Connect (WFC) 产品不受此漏洞的影响 | N/A | 在持续评估漏洞后,我们已确定以下 Workforce Connect (WFC) 产品不受此漏洞的影响 | N/A |
| Zebra Enterprise Messaging | 已经过调查;使用不受此漏洞影响的版本。 | 已修复 2021 年 12 月 15 日 |
不受影响 | N/A |
| Fetch | 此漏洞的暴露风险有限。工程部已缓解问题 | 已修复 2021 年 12 月 12 日 |
此漏洞的暴露风险有限。工程部正在积极解决问题 | 在持续评估漏洞后,我们已确定该产品不受影响。 |
| Reflexis | 有完全暴露于此漏洞的风险。工程部正在积极解决问题 | 已于 2021 年 12 月 29 日修复 | 有完全暴露于此漏洞的风险。工程部正在积极解决问题 | 已于 2022 年 1 月 7 日修复 |
| Visibility Server Software (ZLS) | 已经过调查;使用不受此漏洞影响的版本。 | 已修复 2021 年 12 月 14 日 |
已经过调查;使用不受此漏洞影响的版本。 | N/A |
| MotionWorks Enterprise (ZLS) | 漏洞已通过在启动 JVM 时设置 -Dlog4j2.formatMsgNoLookups=true 得到修复 | 已修复 2021 年 12 月 14 日 |
低风险 - 使用 log4j 的组件只会在用户通过身份验证时接收请求。它们不会记录任意用户输入。 | 已修复 2021 年 12 月 19 日 |
| Zebra Profitect (ZPA) | 该漏洞的暴露风险有限。工程部已删除 IntelliJ 和 Log4J 以进行修复 | 已修复 2021 年 12 月 10 日 |
不受影响 | N/A |
| Printer Profile Manager Enterprise (PPME) | 不受此漏洞影响。 3.2.7563 及更高版本删除和/或更新了与 Log4j 相关的文件和组件。 访问支持页面。 |
2021 年 2 月 8 日更新 | 不受此漏洞影响。 3.2.7563 及更高版本删除和/或更新了与 Log4j 相关的文件和组件。 访问支持页面。 |
2021 年 2 月 8 日更新 |
免责声明:Zebra 会尽力在 Google 发布安全公告时发布安全更新。但是,安全更新的交付时间可能会因地区、产品型号和第三方软件供应商而异。在某些情况下,在安装安全更新之前,必须将操作系统更新到较新的维护版本。各个产品更新将提供具体指导。
除非另有说明,新报告的问题中没有利用或滥用活跃客户信息的现象。
您了解 Zebra Technologies 产品的潜在安全问题吗?