Informacje o podatności (CVE-2021-44228) w Apache Log4j 2 / [CVE-2021-45046 (14 grudnia 2021 r.)]
Zebra Technologies aktywnie śledzi podatności bezpieczeństwa w narzędziu open-source Apache „Log4j 2” (CVE-2021-44228). Obecnie oceniamy potencjalny wpływ tej podatności na produkty i rozwiązania firmy Zebra. Robimy to nieustannie i zamierzamy kontynuować dostarczanie aktualizacji za pośrednictwem naszych kanałów komunikacji z klientami. Nasz strona pomocy technicznej zostanie zaktualizowana i będzie zawierała bieżące informacje, gdy tylko będą one dostępne.
Kontekst: Narzędzie Apache Log4j jest szeroko używanym komponentem do rejestrowania zapytań. 9 grudnia 2021 r. zgłoszono podatność, która umożliwia systemowi Apache Log4j do wersji 2.14.1 ujawnienie danych i uruchomienie hakerowi arbitralnego kodu.
10 grudnia 2021 r. NIST opublikowało ostrzeżenie o krytycznych podatnościach, CVE-2021-44228. Uściślając, funkcje Java Naming Directory Interface (JNDI) używane w konfiguracji, dzienniku wiadomości i parametrach, nie chroni przed atakiem z przejęciem LDAP lub innych punktów końcowych związanych z JNDI. Atakujący, który potrafi przejąć rejestr wiadomości lub parametry rejestru wiadomości, może uruchomić arbitralny kod przesłany ze zdalnych serwerów, gdy substytut wyszukiwania wiadomości jest włączony.
CVE-2021-45046 (14 grudnia 2021 r.)
Opis: Dowiedziono, że znalezione rozwiązanie na podatność CVE-2021-44228 w Apache Log4j 2.15.0 było niewystarczające w niektórych niestandardowych konfiguracjach. Pozwalało ono atakującym przejęcie kontroli nad wprowadzanymi danymi z mapy kontekstowej wątków (MDC), gdy rejestr konfiguracji wykorzystuje niestandardowy układ wzorów do wyszukiwania kontekstowego (np. $${ctx:loginId}) lub wzoru mapy kontekstowej wątków (%X, %mdc lub %MDC) do stworzenia szkodliwych danych wejściowych we wzorcu wyszukiwania JNDI, co może skutkować atakiem typu DOS. Log4j 2.15.0 dokonuje wszelikch starań, by ograniczyć domyślne wyszukiwanie JNDI LDAP w localhost. Log4j 2.16.0 rozwiązuje ten problem, usuwając wsparcie dla wzorców wyszukiwania wiadomości i domyślnie wyłączając funkcjonalność JNDI.
Co mogę zrobić, aby zapewnić sobie ochronę?
Gorąco zachęcamy naszych klientów do skonsultowania się z dostawcami SW i jak najszybszego pobrania łatek bezpieczeństwa oraz aktualizacji dla wszystkich zastosowań SW.
Dla wewnętrznych serwerów lub aplikacji, zachęcamy klientów używających środowiska Log4j 2 do dokonania aktualizacji do wersji Log4j 2.15.0 lub nowszej, zgodnie z wytycznymi Apache https://logging.apache.org/log4j/2.x/
STRONY POMOCY TECHNICZNEJ DOTYCZĄCE PRODUKTÓW, NA KTÓRE MA TO WPŁYW:
| Produkt, którego dotyczy problem | CVE-2021-44228 (Apache Log4j 2) | Data | CVE-2021-45046 | Data |
| Visibility IQ (VIQF) | Ograniczona ekspozycja na tę podatność; rozwiązanie gotowe | Rozwiązano 12 grudnia 2021 r. |
Nie ma wpływu | N/a |
| SOTI MobiControl w wersji 14.3 do 15.4.1 – Środowiska hostingowe | Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem | Rozwiązano 22 grudnia 2021 r. |
Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem | Rozwiązano 22 grudnia 2021 r. |
| PTT Pro Windows/Desktop (G1, G2) | Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością. | N/a | Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością. | N/a |
| Komunikator Zebra Enterprise | Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. | Rozwiązano 15 grudnia 2021 r. |
Nie ma wpływu | N/a |
| Fetch | Ograniczona ekspozycja na tę podatność. Dział techniczny złagodził skutki problemu | Rozwiązano 12 grudnia 2021 r. |
Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem | Po trwającej ocenie podatności, ten produkt został sklasyfikowany jako nie podlegający podatności. |
| Reflexis | Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem | Rozwiązano: 29 grudnia, 2021 r. | Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem | Rozwiązano: 7 stycznia, 2022 r. |
| Visibility Server Software (ZLS) | Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. | Rozwiązano 14 grudnia 2021 r. |
Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. | N/a |
| MotionWorks Enterprise (ZLS) | Rozwiązano podatność w ustawieniach -Dlog4j2.formatMsgNoLookups=true podczas uruchamiania JVM. | Rozwiązano 14 grudnia 2021 r. |
Niskie ryzyko – Komponenty używające log4j otrzymają żądania tylko po uwierzytelnieniu użytkownika. Nie rejestrują arbitrarnych danych wejściowych użytkowników. | Rozwiązano 19 grudnia 2021 r. |
| Zebra Profitect (ZPA) | Ograniczona ekspozycja na tę podatność. Dział techniczny usunął IntelliJ i Log4J w celu przeprowadzenie oceny | Rozwiązano 10 grudnia 2021 r. |
Nie ma wpływu | N/a |
| Printer Profile Manager Enterprise (PPME) | Nieobjęte tą podatnością. Wersje 3.2.7563 i nowsze usuwają i/lub aktualizują pliki oraz kompontenty związane z Log4j. Przejdź na stronę wsparcia. |
Zaktualizowano 8 lutego 2021 r. | Nieobjęte tą podatnością. Wersje 3.2.7563 i nowsze usuwają i/lub aktualizują pliki oraz kompontenty związane z Log4j. Przejdź na stronę wsparcia. |
Zaktualizowano 8 lutego 2021 r. |
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?