Informazioni sulla vulnerabilità Apache Log4j 2 (CVE-2021-44228) / [CVE-2021-45046 (Dec 14, 2021)]
Zebra Technologies sta monitorando attivamente la vulnerabilità di sicurezza nell'utilità open-source Apache "Log4j 2" (CVE-2021-44228). Al momento stiamo valutando il potenziale impatto della vulnerabilità per i prodotti e le soluzioni Zebra. Si tratta di un evento ancora in corso e continueremo a offrire aggiornamenti sui nostri canali di comunicazione con i clienti. La nostra pagina di supporto verrà aggiornata per includere informazioni rilevanti quando saranno disponibili.
Contesto: l'utilità Apache Log4j è un componente di uso comune per la registrazione di richieste. Il 9 dicembre 2021 è stata segnalata una vulnerabilità che potrebbe causare la compromissione di un sistema su cui giri Apache Log4j versione 2.14.1 o precedente e potrebbe permettere a un utente malintenzionato di eseguire codice arbitrario.
Il 10 dicembre 2021 NIST ha pubblicato un'allerta critica Common Vulnerabilities and Exposures, CVE-2021-44228. Più precisamente, le caratteristiche di Java Naming Directory Interface (JNDI) utilizzate nella configurazione, nei messaggi di log e nei parametri non proteggono contro le LDAP controllate da utenti malintenzionati e altri endpoint legati alla JNDI. Un utente malintenzionato in grado di controllare i messaggi di log o i parametri dei messaggi di log può eseguire codice arbitrario caricato da server remoti quando è abilitata la sostituzione di ricerca messaggi.
CVE-2021-45046 (14 dicembre 2021)
Descrizione: si è scoperto che la correzione per affrontare la CVE-2021-44228 in Apache Log4j 2.15.0 era incompleta in alcune configurazioni non predefinite. Ciò potrebbe permettere a utenti malintenzionati con controllo sui dati di input di Thread Context Map (MDC), quando la configurazione di registrazione utilizza un Pattern Layout non predefinito con un Context Lookup (per esempio, $${ctx:loginId}) o uno schema Thread Context Map (%X, %mdc o %MDC), di creare dati di input dannosi utilizzando uno schema JNDI Lookup che può risultare in un attacco di negazione del servizio (DOS). Log4j 2.15.0 fa ogni sforzo possibile per limitare per default i lookup JNDI LDAPpt all'host locale Log4j 2.16.0 rimedia a questo problema rimuovendo il supporto per gli schemi di lookup e disabilitando la funzionalità JNDI per default.
Cosa dovrei fare per proteggermi?
Raccomandiamo vivamente i clienti a consultare i propri fornitori di SW e ottenere patch e aggiornamenti il prima possibile per tutte le applicazioni SW coinvolte
Per i server o le applicazioni sviluppate internamente, raccomandiamo vivamente i clienti che gestiscono ambienti contenenti Log4j 2 ad aggiornare alla versione Log4j 2.15.0 o successiva secondo le indicazioni di Apache https://logging.apache.org/log4j/2.x/
PAGINE DI SUPPORTO PER I PRODOTTI INTERESSATI:
| Prodotto interessato | CVE-2021-44228 (Apache Log4j 2) | Data | CVE-2021-45046 | Data |
| Visibility IQ (VIQF) | Esposizione limitata a questa vulnerabilità; correzione completa | Corretta 12 dicembre 2021 |
Non interessato | non pertinente |
| SOTI MobiControl v 14.3 to 15.4.1 - Ambienti ospiti | Esposizione limitata a questa vulnerabilità. Il team di progettazione sta lavorando attivamente a una soluzione | Corretta 22 dicembre 2021 |
Esposizione limitata a questa vulnerabilità. Il team di progettazione sta lavorando attivamente a una soluzione | Corretta 22 dicembre 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Dopo una valutazione continua della vulnerabilità, è stato stabilito che i seguenti prodotti Workforce Connect (WFC) non sono stati colpiti da questa vulnerabilità | non pertinente | Dopo una valutazione continua della vulnerabilità, è stato stabilito che i seguenti prodotti Workforce Connect (WFC) non sono stati colpiti da questa vulnerabilità | non pertinente |
| Zebra Enterprise Messaging | Analisi conclusa; versione in uso non interessata da questa vulnerabilità | Corretta 15 dicembre 2021 |
Non interessato | non pertinente |
| Fetch | Esposizione limitata a questa vulnerabilità. Il team di progettazione ha mitigato il problema | Corretta 12 dicembre 2021 |
Esposizione limitata a questa vulnerabilità. Il team di progettazione sta lavorando attivamente a una soluzione | Dopo una valutazione continua della vulnerabilità, è stato stabilito che questo prodotto non è stato colpito. |
| Reflexis | Esposizione completa a questa vulnerabilità; il team di progettazione sta lavorando attivamente a una soluzione | Corretta il 29 dicembre 2021 | Esposizione completa a questa vulnerabilità; il team di progettazione sta lavorando attivamente a una soluzione | Corretta il 7 gennaio 2022 |
| Visibility Server Software (ZLS) | Analisi conclusa; versione in uso non interessata da questa vulnerabilità | Corretta 14 dicembre 2021 |
Analisi conclusa; versione in uso non interessata da questa vulnerabilità | non pertinente |
| MotionWorks Enterprise (ZLS) | Vulnerabilità corretta impostando -Dlog4j2.formatMsgNoLookups=true all'avvio della JVM | Corretta 14 dicembre 2021 |
Basso rischio - I componenti che utilizzano log4j riceveranno richieste solo quando l'utente è autenticato. Non registrano input utente arbitrari | Corretta 19 dicembre 2021 |
| Zebra Profitect (ZPA) | Esposizione limitata a questa vulnerabilità. Il team di progettazione ha rimosso IntelliJ e Log4J per rimediare | Corretta 10 dicembre 2021 |
Non interessato | non pertinente |
| Printer Profile Manager Enterprise (PPME) | Non interessata da questa vulnerabilità. La versione 3.2.7563 e le successive rimuovono e/o aggiornano file e componenti relativi a Log4j. Visita la pagina di supporto. |
Aggiornato l'8 febbraio 2021 | Non interessata da questa vulnerabilità. La versione 3.2.7563 e le successive rimuovono e/o aggiornano file e componenti relativi a Log4j. Visita la pagina di supporto. |
Aggiornato l'8 febbraio 2021 |
Disclaimer: Zebra fa ogni tentativo di rilasciare gli aggiornamenti di sicurezza il o circa il momento in cui Google rilascia il suo rispettivo bollettino sulla sicurezza. Tuttavia, i tempi di consegna degli aggiornamenti della sicurezza possono variare a seconda dell'area geografica, del modello prodotto e dei fornitori di software di terze parti. In alcune circostanze, il sistema operativo deve essere aggiornato alla versione di manutenzione più recente prima di installare gli aggiornamenti della protezione. I singoli aggiornamenti dei prodotti forniranno indicazioni specifiche.
Se non diversamente specificato, non sono state rilevate segnalazioni di sfruttamento attivo da parte dei clienti o abusi da questi problemi segnalati di recente.
Sei a conoscenza di un potenziale problema di sicurezza con un prodotto di Zebra Technologies?