Apache Log4j 2の脆弱性(CVE-2021-44228)に関する情報/ [CVE-2021-45046(2021年12月14日)]

Zebra Technologiesでは、オープンソースのApache「Log4j 2」ユーティリティ(CVE-2021-44228)におけるセキュリティの脆弱性を積極的に追跡しており、現在、Zebra製品とソリューションが受け得る脆弱性の影響を評価しています。これは継続的なイベントで、 引き続きお客様との間のコミュニケーションチャネルを通じて最新の情報を提供していきます。サポートページは、関連する情報が入り次第更新いたします。

背景:Apache Log4jユーティリティは、一般的にリクエストのログ記録に使用するコンポーネントです。2021年12月9日に、Apache Log4jバージョン2.14.1以下を実行しているシステムが危険にさらされる可能性、および攻撃者が任意のコードを実行する可能性のある脆弱性が報告されました。

2021年12月10日、NISTは重大なCommon Vulnerabilities and Exposureアラート、CVE-2021-44228を公開し、構成、ログメッセージ、パラメーターで使用されるJava Naming Directory Interface(JNDI)機能が、攻撃者の制御するLDAPやその他JNDI関連のエンドポイントに対して防御を行わないことを明らかにしました。メッセージルックアップ置換が有効になっていれば、ログメッセージやログメッセージパラメータを制御できる攻撃者が、リモートサーバーからロードした任意のコードを実行する可能性があります。

CVE-2021-45046(2021年12月14日)

内容:Apache Log4j 2.15.0のCVE-2021-44228に対する修正は、特定の既定以外の設定において、不完全であることが確認されました。これにより、攻撃者がログ構成でコンテキスト検索(例:$${ctx:loginId})またはスレッドコンテキストマップパターン(%X、%mdc、%MDCなど)による既定以外のパターンレイアウトを使用する際に、Thread Context Map(MDC)入力データを制御できる場合、JNDI検索パターンを使用して悪意のある入力データを作成できる状態になり、サービス拒否(DOS)攻撃を引き起こします。Log4j 2.15.0では、JNDI LDAP検索を初期設定でlocalhostに制限するよう最大限の対策を行っています。この問題は、Log4j 2.16.0で、メッセージ検索パターンのサポートを削除し、初期設定でJNDI機能を無効にすることにより修正されます。

自分を守るために何をすべきですか?

SWベンダーにご相談のうえ、影響を受けるすべてのSWアプリケーションのパッチを入手してできるだけ早く更新することを強くお勧めします。

社内で開発されたサーバー、アプリケーションについては、Log4j 2を含む環境を管理されている方が、Apacheのガイダンスhttps://logging.apache.org/log4j/2.x/に従ってバージョンLog4j 2.15.0以降に更新することを強くお勧めします。

影響を受けた製品のサポートページ:

影響を受ける製品 CVE-2021-44228 (Apache Log4j 2) 日付 CVE-2021-45046 日付
Visibility IQ (VIQF) 脆弱性に対して限定的に暴露、修復完了済み 修正済み
2021年12月12日
影響なし N/a
SOTI MobiControl v 14.3~15.4.1 - ホスティング環境 脆弱性に対して限定的に暴露。エンジニアリングが解決に取り組んでいます。 修正済み
2021年12月22日
脆弱性に対して限定的に暴露。エンジニアリングが解決に取り組んでいます。 修正済み
2021年12月22日
PTT Pro Windows/Desktop (G1, G2) 脆弱性を継続的に評価した結果、下記のWorkforce Connect(WFC)製品はこの脆弱性の影響を受けないと判断されました。 N/a 脆弱性を継続的に評価した結果、下記のWorkforce Connect(WFC)製品はこの脆弱性の影響を受けないと判断されました。 N/a
Zebraエンタープライズメッセージング 調査終了。この脆弱性の影響を受けないバージョンを使用しています。 修正済み
2021年12月15日
影響なし N/a
フェッチ 脆弱性に対して限定的に暴露されました。エンジニアリングチームにより解決済み。 修正済み
2021年12月12日

脆弱性に対して限定的に暴露。エンジニアリングが解決に取り組んでいます。 脆弱性を継続的に評価した結果、この製品は影響を受けないと判断されました。
Reflexis 脆弱性に対して完全に暴露されました。エンジニアリングが解決に取り組んでいます。 2021年12月29日修正済み 脆弱性に対して完全に暴露されました。エンジニアリングが解決に取り組んでいます。
2022年1月7日修正済み
可視性サーバーソフトウェア(ZLS) 調査終了。この脆弱性の影響を受けないバージョンを使用しています。 修正済み
2021年12月14日
調査終了。この脆弱性の影響を受けないバージョンを使用しています。 N/a
MotionWorksエンタープライズ(ZLS) JVM起動時に「Dlog4j2.formatMsgNoLookups=true」を設定することで脆弱性を修正しました。 修正済み
2021年12月14日
低リスク - log4jを使用するコンポーネントは、ユーザーが認証された場合のみリクエストを受信します。任意のユーザー入力値は記録しません。 修正済み
2021年12月19日
Zebra Profitect (ZPA) この脆弱性に対して限定的に暴露されました。エンジニアリングチームがIntelliJ and Log4Jを削除して修正しました。 修正済み
2021年12月10日
影響なし N/a
プリンタProfile Manager Enterprise (PPME)

この脆弱性の影響を受けません。

バージョン3.2.7563以降は、Log4jに関連するファイルおよびコンポーネントを削除および/または更新します。

サポートページをご覧ください。

2021年2月8日更新

この脆弱性の影響を受けません。

バージョン3.2.7563以降は、Log4jに関連するファイルおよびコンポーネントを削除および/または更新します。

サポートページをご覧ください。

2021年2月8日更新

免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OS を最新のメンテナンス リリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。

特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。



Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?