채팅하기
로더
연결을 설정 중입니다. 연결하는 동안 잠시 기다려 주십시오.

Apache Log4j 2 취약점(CVE-2021-44228) 정보/[CVE-2021-45046 (2021년 12월 14일]

Zebra Technologies는 오픈 소스 Apache "Log4j 2" 유틸리티(CVE-2021-44228 )의 보안 취약점을 적극적으로 추적하고 있습니다.). We are currently assessing the potential impact of the vulnerability for Zebra products and solutions. This is an ongoing event, and we will continue to provide updates through our customer communications channels. Our support page will be updated to include relevant information as it becomes available.

Background: The Apache Log4j utility is a commonly used component for logging requests. On December 9, 2021, a vulnerability was reported that could allow a system running Apache Log4j version 2.14.1 or below to be compromised and allow an attacker to execute arbitrary code.

On December 10, 2021, NIST published a critical Common Vulnerabilities and Exposure alert, CVE-2021-44228. More specifically, Java Naming Directory Interface (JNDI) features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints. An attacker who can control log messages or log message parameters can execute arbitrary code loaded from remote servers when message lookup substitution is enabled.

CVE-2021-45046 (2021년 12월 14일)

Description: It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a non-default Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in a denial of service (DOS) attack. Log4j 2.15.0 makes a best-effort attempt to restrict JNDI LDAP lookups to localhost by default. Log4j 2.16.0 fixes this issue by removing support for message lookup patterns and disabling JNDI functionality by default.

스스로를 보호하려면 어떻게 해야 합니까?

담당 소프트웨어 공급업체에 문의하고 영향을 받는 모든 SW 응용프로그램을 가능한 한 빨리 패치 및 업데이트할 것을 고객들에게 강력히 권장합니다.

내부적으로 개발한 서버 또는 응용프로그램 경우 Log4j 2 포함 환경을 관리하는 고객은 Log4j 2.15.0 이후 버전으로 업데이트할 것을 강력 권장합니다. https://logging.apache.org/log4j/2.x/에서 Apache 지침을 반드시 확인해 주십시오.

영향을 받은 제품에 대한 지원 페이지:

영향을 받은 제품 CVE-2021-44228 (Apache Log4j 2) 날짜 CVE-2021-45046 날짜
가시성 IQ(VIQF) 이 취약점에 제한적 노출, 시정 완료 시정됨
2021년 12월 12일
영향 없음 해당/A
SOTI MobiControl v 14.3에서 15.4.1 - 호스팅 환경 Limited exposure to this vulnerability. Engineering is actively working to resolve 시정됨
2021년 12월 22일
Limited exposure to this vulnerability. Engineering is actively working to resolve 시정됨
2021년 12월 22일
PTT 프로 윈도/데스크톱 (G1, G2) 취약성에 대한 지속적인 평가로 다음 WFC(워크포스 커넥트) 제품은 이 취약성의 영향을 받지 않는 것으로 확인됨 해당/A 취약성에 대한 지속적인 평가로 다음 WFC(워크포스 커넥트) 제품은 이 취약성의 영향을 받지 않는 것으로 확인됨 해당/A
Zebra 엔터프라이즈 메시징 조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 시정됨
2021년 12월 15일
영향 없음 해당/A
Fetch Limited exposure to this vulnerability. Engineering mitigated issue 시정됨
2021년 12월 12일

Limited exposure to this vulnerability. Engineering is actively working to resolve 취약점에 대해 지속적으로 평가한 결과 이 제품은 영향을 받지 않는 것으로 확인되었습니다.
Reflexis 이 취약점에 전면 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중 2021년 12월 29일 수정 이 취약점에 전면 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중
2022년 1월 7일 수정
가시성 서버 소프트웨어(ZLS) 조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 시정됨
2021년 12월 14일
조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 해당/A
모션웍스 엔터프라이즈(ZLS) JVM 시작 시 -Dlog4j2.formatMsgNoLookups=true를 설정하여 취약점 시정함 시정됨
2021년 12월 14일
Low Risk - The components use log4j will only receive requests when the user is authenticated. They do not log arbitrary user inputs. 시정됨
2021년 12월 19일
Zebra Profitect(ZPA) Limited exposure to this vulnerability. Engineering as removed IntelliJ and Log4J to remediate 시정됨
2021년 12월 10일
영향 없음 해당/A
프린터 프로필 매니저 엔터프라이즈(PPME)

이 취약성의 영향이 없습니다.

버전 3.2.7563 이상은 Log4j 관련 파일 및 구성요소를 제거 및/또는 업데이트합니다.

지원 페이지를 방문하십시오.

2021년 2월 8일 업데이트

이 취약성의 영향이 없습니다.

버전 3.2.7563 이상은 Log4j 관련 파일 및 구성요소를 제거 및/또는 업데이트합니다.

지원 페이지를 방문하십시오.

2021년 2월 8일 업데이트

Disclaimer: Zebra makes every attempt to release security updates on or about the time that Google releases its respective security bulletin. However, delivery time of security updates may vary depending on the region, product model, and third party software suppliers. Under some circumstances, the OS must be updated to the latest maintenance release prior to installing the security updates. Individual product updates will provide specific guidance.

달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.



Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?