Apache Log4j 2 취약점(CVE-2021-44228) 정보/[CVE-2021-45046 (2021년 12월 14일]

Zebra Technologies는 오픈 소스 Apache "Log4j 2" 유틸리티(CVE-2021-44228 )의 보안 취약점을 적극적으로 추적하고 있습니다.)현재 해당 취약점이 Zebra 제품 및 솔루션에 미칠 수 있는 잠재적 영향을 평가하고 있습니다. 이러한 활동은 아직 진행 중이며 고객 커뮤니케이션 채널을 통해 내용을 계속 업데이트할 것입니다. 관련 정보를 확보하는 대로 지원 페이지를 업데이트하여 관련 정보를 반영하겠습니다.

배경: Apache Log4j 유틸리티는 로깅 요청에 흔히 사용하는 구성요소입니다. 2021년 12월 9일에 Apache Log4j 버전 2.14.1 이하를 실행하는 시스템이 손상되고 공격자가 임의 코드를 실행할 수 있다는 취약점이 보고되었습니다.

2021년 12월 10일, NIST는 중요한 일반 취약성 및 노출 경고 CVE-2021-44228를 발표했습니다. 보다 구체적으로 보면, 구성, 로그 메시지, 매개변수에 사용하는 자바 네이밍 디렉터리 인터페이스(JNDI) 기능은 공격자가 제어하는 ​​LDAP 및 기타 JNDI 관련 엔드포인트에 대해 보호하지 않습니다. 로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체가 활성화된 경우 원격 서버에서 로드된 임의 코드를 실행할 수 있습니다.

CVE-2021-45046 (2021년 12월 14일)

상세: Apache Log4j 2.15.0에서 CVE-2021-44228를 해결하기 위한 수정이 기본이 아닌 특정 구성에서 불완전했음이 밝혀졌습니다. 이로 인해 MDC(스레드 컨텍스트 맵) 입력 데이터를 제어할 수 있는 공격자가 로깅 구성이 컨텍스트 조회(예: $${ctx:loginId}) 또는 스레드 컨텍스트 맵 패턴(%X, %mdc, %MDC) 중에 하나와 기본이 아닌 패턴 레이아웃을 사용할 때 JNDI 조회 패턴을 사용하여 악성 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 일으킬 수 있게 됩니다. Log4j 2.15.0는 기본적으로 JNDI LDAP 조회를 로컬호스트로 제한하기 위해 최선을 다합니다. Log4j 2.16.0은 메시지 조회 패턴에 대한 지원을 제거하고 기본적으로 JNDI 기능을 비활성화하여 이 문제를 해결합니다.

스스로를 보호하려면 어떻게 해야 합니까?

담당 소프트웨어 공급업체에 문의하고 영향을 받는 모든 SW 응용프로그램을 가능한 한 빨리 패치 및 업데이트할 것을 고객들에게 강력히 권장합니다.

내부적으로 개발한 서버 또는 응용프로그램 경우 Log4j 2 포함 환경을 관리하는 고객은 Log4j 2.15.0 이후 버전으로 업데이트할 것을 강력 권장합니다. https://logging.apache.org/log4j/2.x/에서 Apache 지침을 반드시 확인해 주십시오.

영향을 받은 제품에 대한 지원 페이지:

영향을 받은 제품 CVE-2021-44228 (Apache Log4j 2) 날짜 CVE-2021-45046 날짜
가시성 IQ(VIQF) 이 취약점에 제한적 노출, 시정 완료 시정됨
2021년 12월 12일
영향 없음 해당/A
SOTI MobiControl v 14.3에서 15.4.1 - 호스팅 환경 이 취약점에 제한적 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중 시정됨
2021년 12월 22일
이 취약점에 제한적 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중 시정됨
2021년 12월 22일
PTT 프로 윈도/데스크톱 (G1, G2) 취약성에 대한 지속적인 평가로 다음 WFC(워크포스 커넥트) 제품은 이 취약성의 영향을 받지 않는 것으로 확인됨 해당/A 취약성에 대한 지속적인 평가로 다음 WFC(워크포스 커넥트) 제품은 이 취약성의 영향을 받지 않는 것으로 확인됨 해당/A
Zebra 엔터프라이즈 메시징 조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 시정됨
2021년 12월 15일
영향 없음 해당/A
Fetch 이 취약점에 대한 제한적 노출. 엔지니어링이 문제 경감함 시정됨
2021년 12월 12일

이 취약점에 제한적 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중 취약점에 대해 지속적으로 평가한 결과 이 제품은 영향을 받지 않는 것으로 확인되었습니다.
Reflexis 이 취약점에 전면 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중 2021년 12월 29일 수정 이 취약점에 전면 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중
2022년 1월 7일 수정
가시성 서버 소프트웨어(ZLS) 조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 시정됨
2021년 12월 14일
조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 해당/A
모션웍스 엔터프라이즈(ZLS) JVM 시작 시 -Dlog4j2.formatMsgNoLookups=true를 설정하여 취약점 시정함 시정됨
2021년 12월 14일
저위험 - log4j를 사용하는 구성요소는 사용자가 인증된 경우에만 요청을 수신할 것입니다. 임의적인 사용자 입력은 로그하지 않습니다. 시정됨
2021년 12월 19일
Zebra Profitect(ZPA) 이 취약점에 제한된 노출. 엔지니어링이 시정을 위해 IntelliJ 및 Log4J 제거 시정됨
2021년 12월 10일
영향 없음 해당/A
프린터 프로필 매니저 엔터프라이즈(PPME)

이 취약성의 영향이 없습니다.

버전 3.2.7563 이상은 Log4j 관련 파일 및 구성요소를 제거 및/또는 업데이트합니다.

지원 페이지를 방문하십시오.

2021년 2월 8일 업데이트

이 취약성의 영향이 없습니다.

버전 3.2.7563 이상은 Log4j 관련 파일 및 구성요소를 제거 및/또는 업데이트합니다.

지원 페이지를 방문하십시오.

2021년 2월 8일 업데이트

면책 조항: Zebra는 Google에서 해당 보안 공지를 릴리스하는 시점에 대한 보안 업데이트를 릴리스하려고 모든 시도를 합니다. 그러나 보안 업데이트의 배달 시간은 지역, 제품 모델 및 타사 소프트웨어 공급업체에 따라 달라질 수 있습니다. 경우에 따라 보안 업데이트를 설치하기 전에 OS를 최신 유지 관리 릴리스로 업데이트해야 합니다. 개별 제품 업데이트는 구체적인 지침을 제공합니다.

달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.



Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?