Apache Log4j 2 Schwachstelleninformation (CVE-2021-44228)/ [CVE-2021-45046 (14. Dez. 2021)]
Zebra Technologies verfolgt aktiv die Sicherheitsschwachstelle im Open-Source-Apache-Dienstprogramm „Log4j 2“ (CVE-2021-44228). Wir untersuchen derzeit die möglichen Auswirkungen der Sicherheitslücke auf Produkte und Lösungen von Zebra. Es handelt sich hierbei um ein laufendes Geschehen, und wir werden über unsere Kundenkommunikationskanäle weiter aktuelle Informationen bereitstellen. Unsere Supportseite wird aktualisiert, um relevante Informationen aufzunehmen, sobald sie verfügbar sind.
Hintergrund: Das Apache Log4j Dienstprogramm ist eine häufig verwendete Komponente für Protokollierungsanfragen. Am 9. Dezember 2021 wurde eine Schwachstelle gemeldet, die es einem System, auf dem Apache Log4j Version 2.14.1 oder niedriger läuft, ermöglichen könnte, kompromittiert zu werden und einem Angreifer die Ausführung von beliebigem Code zu erlauben.
Am 10. Dezember 2021 veröffentlichte das NIST einen kritischen Common Vulnerabilities and Exposure Alert, CVE-2021-44228. Genauer gesagt schützen die in der Konfiguration, in Protokollmeldungen und in Parametern verwendeten Java Naming Directory Interface (JNDI)-Funktionen nicht vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Ein Angreifer, der die Kontrolle über Protokollnachrichten oder Protokollnachrichtenparameter hat, kann beliebigen Code ausführen, der von entfernten Servern geladen wird, wenn die Message Lookup-Substitution aktiviert ist.
CVE-2021-45046 (14. Dez. 2021)
Beschreibung: Es wurde festgestellt, dass der Fix zur Behebung von CVE-2021-44228 in Apache Log4j 2.15.0 in bestimmten Nicht-Standard-Konfigurationen unvollständig war. Das könnte es Angreifern mit Kontrolle über die Thread-Kontext-Map (MDC) Eingabedaten, wenn die Logging-Konfiguration ein Nicht-Standard-Muster-Layout mit entweder einem Kontext-Lookup (z.B. $${ctx:loginId}) oder ein Thread-Kontext Map-Muster (%X, %mdc, or %MDC) nutzt, ermöglichen, bösartige Eingabedaten mit Hilfe eines JNDI-Lookup-Musters zu erstellen, die zu einem Denial-of-Service(DOS)-Angriff führen. Log4j 2.15.0 versucht auf bestmögliche Weise, JNDI LDAP-Lookups zum Localhost als Standardeinstellung zu verhindern. Log4j 2.16.0 behebt dieses Problem durch Entfernung des Supports für Nachrichten-Lookup-Muster und durch Deaktivierung der JNDI-Funktion als Standardeinstellung.
Was sollte ich tun, um mich zu schützen?
Wir empfehlen unseren Kunden dringend, sich mit ihren SW-Anbietern in Verbindung zu setzen und so bald wie möglich Patches und Updates für alle betroffenen SW-Anwendungen zu beziehen.
Für intern entwickelte Server oder Anwendungen empfehlen wir Kunden, die Umgebungen mit Log4j 2 verwalten, dringend ein Update auf die Version Log4j 2.15.0 oder höher gemäß der Apache-Anleitung https://logging.apache.org/log4j/2.x/
SUPPORT-SEITEN FÜR BETROFFENE PRODUKTE:
| Betroffenes Produkt | CVE-2021-44228 (Apache-Protokoll4j 2) | Datum | CVE-2021-45046 | Datum |
| Visibility IQ (VIQF) | Begrenzte Gefährdung durch diese Schwachstelle; Abhilfemaßnahmen abgeschlossen | Behoben am 12. Dezember 2021 |
Nicht betroffen | – |
| SOTI MobiControl V 14.3 bis 15.4.1 – Gehostete Umgebungen | Begrenzte Gefährdung durch diese Schwachstelle. Die Technik arbeitet aktiv an Abhilfemaßnahmen | Behoben am 22. Dez. 2021 |
Begrenzte Gefährdung durch diese Schwachstelle. Die Technik arbeitet aktiv an Abhilfemaßnahmen | Behoben am 22. Dez. 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Nach weiterer Prüfung der Schwachstelle wurde festgestellt, dass die folgenden Workforce Connect (WFC)-Produkte nicht von dieser Sicherheitslücke betroffen sind | – | Nach weiterer Prüfung der Schwachstelle wurde festgestellt, dass die folgenden Workforce Connect (WFC)-Produkte nicht von dieser Sicherheitslücke betroffen sind | – |
| Zebra Enterprise Messaging | Nach Untersuchung; verwendete Version von dieser Schwachstelle nicht betroffen. | Behoben am 15. Dezember 2021 |
Nicht betroffen | – |
| Fetch | Begrenzte Gefährdung durch diese Schwachstelle. Technik hat das Problem entschärft | Behoben am 12. Dezember 2021 |
Begrenzte Gefährdung durch diese Schwachstelle. Die Technik arbeitet aktiv an Abhilfemaßnahmen | Nach weiterer Prüfung der Schwachstelle wurde festgestellt, dass dieses Produkt nicht betroffen ist. |
| Reflexis | Volle Anfälligkeit für diese Schwachstelle. Die Technik arbeitet aktiv an der Behebung. | Behoben am 29. Dezember 2021 | Volle Anfälligkeit für diese Schwachstelle. Die Technik arbeitet aktiv an der Behebung. | Behoben am 7. Januar 2022 |
| Visibility Server Software (ZLS) | Nach Untersuchung; verwendete Version von dieser Schwachstelle nicht betroffen. | Behoben am 14. Dezember 2021 |
Nach Untersuchung; verwendete Version von dieser Schwachstelle nicht betroffen. | – |
| MotionWorks Enterprise (ZLS) | Behebung der Schwachstelle durch Setzen von -Dlog4j2.formatMsgNoLookups=true beim Start der JVM | Behoben am 14. Dezember 2021 |
Geringes Risiko – Die Komponenten, die log4j verwenden, erhalten Anfragen nur bei Authentifizierung des Nutzers. Sie protokollieren keine beliebigen Nutzereingaben. | Behoben am 19. Dezember 2021 |
| Zebra Profitect (ZPA) | Begrenzte Gefährdung durch diese Schwachstelle. Die Technik hat IntelliJ und Log4J entfernt, um das Problem zu beheben. | Behoben am 10. Dezember 2021 |
Nicht betroffen | – |
| Printer Profile Manager Enterprise (PPME) | Von dieser Schwachstelle nicht betroffen. Version 3.2.7563 und höher entfernt und/oder aktualisiert Dateien und Komponenten im Zusammenhang mit Log4j. Besuchen Sie die Support-Seite. |
Aktualisiert 8. Februar 2021 | Von dieser Schwachstelle nicht betroffen. Version 3.2.7563 und höher entfernt und/oder aktualisiert Dateien und Komponenten im Zusammenhang mit Log4j. Besuchen Sie die Support-Seite. |
Aktualisiert 8. Februar 2021 |
Haftungsausschluss: Zebra unternimmt jeden Versuch, Sicherheitsupdates zum gleichen oder annähernd gleichen Zeitpunkt wie die entsprechenden öffentlichen Sicherheitsbulletins von Google zu veröffentlichen. Wann die Sicherheitsupdates bereitgestellt werden, kann jedoch je nach Region, Produktmodell und Software-Drittanbieter variieren. Unter bestimmten Umständen muss das Betriebssystem vor der Installation der Sicherheitsupdates auf die neueste Wartungsversion aktualisiert werden. Für individuelle Produktaktualisierungen gelten spezifische Anleitungen.
Sofern nicht anders angegeben, gibt es keine Berichte über aktive schädliche Nutzung oder Missbrauch dieser neu gemeldeten Probleme.
Sind Sie sich eines möglichen Sicherheitsproblems bei einem Produkt von Zebra Technologies bewusst?