Informations sur la vulnérabilité Apache Log4j 2 (CVE-2021-44228)/ [CVE-2021-45046 (14 déc. 2021)]
Zebra Technologies suit actuellement la vulnérabilité sur la sécurité dans l'utilitaire de la bibliothèque Apache « Log4j 2 » (CVE-2021-44228). Nous évaluons actuellement l’impact potentiel de cette vulnérabilité sur les produits et solutions Zebra. Il s'agit d'un événement en cours et nous continuerons de vous fournir des mises à jour via nos canaux de communication clients. Notre page d'assistance sera mise à jour avec des informations pertinentes dès qu'elles seront disponibles.
Contexte : l'utilitaire Apache Log4j est un composant couramment utilisé pour les demandes de connexion. Le 9 décembre 2021, une vulnérabilité a été signalée et pourrait compromettre un système sous Apache Log4j version 2.14.1 ou antérieure, et permettre à un cybercriminel d'exécuter un code arbitraire.
Le 10 décembre 2021, le NIST a publié une alerte de vulnérabilités et d'expositions communes, CVE-2021-44228. Plus spécifiquement, les fonctionnalités de Java Naming Directory Interface (JNDI) utilisées dans la configuration, les messages de log et les paramètres ne protègent pas contre les endpoints LDAP ou autres endpoints JNDI sous le contrôle d'un cybercriminel. Un cybercriminel qui peut contrôler les messages de log ou les paramètres de message de log peut exécuter un code arbitraire chargé à partir de serveurs à distance lorsque la substitution de recherche de message est activée.
Description : il a été constaté que le correctif pour adresser CVE-2021-44228 dans Apache Log4j 2.15.0 était incomplet dans certaines configurations autres que par défaut. Cela pourrait permettre aux cybercriminels ayant le contrôle sur les données d’entrée de Thread Context Map (MDC) lorsque la configuration de journalisation utilise une mise en page de modèle non par défaut avec soit une recherche de contexte (par exemple, $${ctx:loginId}) soit un modèle de Thread Context Map (%X, %mdc, ou %MDC) pour créer des données d’entrée malveillantes à l’aide d’un modèle de recherche JNDI entraînant une attaque par déni de service (DOS). Log4j 2.15.0 fait tout son possible pour tenter de limiter les requêtes JNDI LDAP à localhost par défaut. Log4j 2.16.0 corrige ce problème en supprimant le support des modèles de recherche de messages et en désactivant la fonctionnalité JNDI par défaut
Comment se protéger ?
Nous encourageons fortement les clients à consulter leurs fournisseurs de logiciels et à obtenir des correctifs et des mises à jour dès que possible, pour toutes les applications logicielles concernées.
Pour les serveurs ou applications développés en interne, nous encourageons fortement les clients qui gèrent des environnements avec Log4j 2 de passer à la version Log4j 2.15.0 ou une version ultérieure selon les directives d'Apache https://logging.apache.org/log4j/2.x/
PAGES DE SUPPORT POUR LES PRODUITS IMPACTÉS :
| Produit affecté | CVE-2021-44228 (Apache Log4j 2) | Date | CVE-2021-45046 | Date |
| Visibility IQ (VIQF) | Exposition limitée à cette vulnérabilité ; mesures correctives terminées | Corrigé 12 décembre 2021 |
Pas affecté | ne s'applique pas |
| SOTI MobiControl v 14.3 à 15.4.1 - Environnements hébergés | Exposition limitée à cette vulnérabilité Le service technique travaille activement à résoudre ce problème | Corrigé 22 décembre 2021 |
Exposition limitée à cette vulnérabilité Le service technique travaille activement à résoudre ce problème | Corrigé 22 décembre 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Après une évaluation continue de cette vulnérabilité, il a été déterminé que les produits Workforce Connect (WFC) suivants ne sont pas affectés par cette vulnérabilité. | ne s'applique pas | Après une évaluation continue de cette vulnérabilité, il a été déterminé que les produits Workforce Connect (WFC) suivants ne sont pas affectés par cette vulnérabilité. | ne s'applique pas |
| Zebra Enterprise Messaging | Après enquête ; version d'utilisation non affectée par cette vulnérabilité. | Corrigé 15 décembre 2021 |
Pas affecté | ne s'applique pas |
| Fetch | Exposition limitée à cette vulnérabilité Le service technique a atténué le problème | Corrigé 12 décembre 2021 |
Exposition limitée à cette vulnérabilité Le service technique travaille activement à résoudre ce problème | Après une évaluation continue de la vulnérabilité, il a été déterminé que ce produit n’est pas affecté. |
| Reflexis | Exposition totale à cette vulnérabilité ; le service technique travaille activement à résoudre le problème | Corrigé le 29 décembre 2021 | Exposition totale à cette vulnérabilité ; le service technique travaille activement à résoudre le problème | Corrigé le 7 janvier 2022 |
| Visibility Server Software (ZLS) | Après enquête ; version d'utilisation non affectée par cette vulnérabilité. | Corrigé 14 décembre 2021 |
Après enquête ; version d'utilisation non affectée par cette vulnérabilité. | ne s'applique pas |
| MotionWorks Enterprise (ZLS) | Vulnérabilité corrigée en configurant -Dlog4j2.formatMsgNoLookups=true au démarrage de JVM | Corrigé 14 décembre 2021 |
Risque faible - Les composants d'utilisation log4j ne recevront des requêtes que lorsque l'utilisateur est authentifié. Ils n'enregistrent pas les entrées arbitraires des utilisateurs. | Corrigé 19 décembre 2021 |
| Zebra Profitect (ZPA) | Exposition limitée à cette vulnérabilité Le service technique a supprimé IntelliJ et Log4J pour corriger le problème | Corrigé 10 décembre 2021 |
Pas affecté | ne s'applique pas |
| Printer Profile Manager Enterprise (PPME) | Non affecté par cette vulnérabilité. La version 3.2.7563 et les versions ultérieures suppriment et/ou mettent à jour les fichiers et éléments liés au Log4j. Voir la page d'assistance. |
Mise à jour : le 8 février 2021 | Non affecté par cette vulnérabilité. La version 3.2.7563 et les versions ultérieures suppriment et/ou mettent à jour les fichiers et éléments liés au Log4j. Voir la page d'assistance. |
Mise à jour : le 8 février 2021 |
Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.
Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.
Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?