Porozmawiaj z nami
Ładowarka
Ustanawianie połączenia, prosimy o cierpliwość.

Nowe i usprawnione strony ze wsparciem i materiałami do pobrania są już dostępne! Słuchamy waszych uwag. Odwiedź Stronę ze wsparciem i materiałami do pobrania, aby uzyskać więcej informacji na temat tej aktualizacji.

Informacje o podatności Apache Log4j 2 (CVE-2021-44228) / [CVE-2021-45046 (14 grudnia 2021) r.]

Firma Zebra Technologies aktywnie śledzi lukę w zabezpieczeniach narzędzia Apache „Log4j 2” o otwartym kodzie źródłowym (CVE-2021-44228). Obecnie oceniamy potencjalny wpływ tej podatności na produkty i rozwiązania firmy Zebra. Robimy to nieustannie i zamierzamy kontynuować dostarczanie aktualizacji za pośrednictwem naszych kanałów komunikacji z klientami. Nasz strona pomocy technicznej zostanie zaktualizowana i będzie zawierała bieżące informacje, gdy tylko będą one dostępne.

Kontekst: Narzędzie Apache Log4j jest powszechnie używanym komponentem do rejestrowania zapytań. 9 grudnia 2021 r. zgłoszono podatność, która umożliwia systemowi Apache Log4j do wersji 2.14.1 ujawnienie danych i uruchomienie hakerowi arbitralnego kodu.

10 grudnia 2021 r. NIST opublikowało ostrzeżenie o krytycznych podatnościach, CVE-2021-44228. Uściślając, funkcje Java Naming Directory Interface (JNDI) używane w konfiguracji, dzienniku wiadomości i parametrach, nie chroni przed atakiem z przejęciem LDAP lub innych punktów końcowych związanych z JNDI. Atakujący, który potrafi przejąć rejestr wiadomości lub parametry rejestru wiadomości, może uruchomić arbitralny kod przesłany ze zdalnych serwerów, gdy substytut wyszukiwania wiadomości jest włączony.

CVE-2021-45046 (14 grudnia 2021)

Opis: Dowiedziono, że znalezione rozwiązanie na podatność CVE-2021-44228 w Apache Log4j 2.15.0 było niewystarczające w niektórych niestandardowych konfiguracjach. Pozwalało ono atakującym przejęcie kontroli nad wprowadzanymi danymi z mapy kontekstowej wątków (MDC), gdy rejestr konfiguracji wykorzystuje niestandardowy układ wzorów do wyszukiwania kontekstowego (np. $${ctx:loginId}) lub wzoru mapy kontekstowej wątków (%X, %mdc lub %MDC) do stworzenia szkodliwych danych wejściowych we wzorcu wyszukiwania JNDI, co może skutkować atakiem typu DOS. Log4j 2.15.0 dokonuje wszelikch starań, by ograniczyć domyślne wyszukiwanie JNDI LDAP w localhost. Log4j 2.16.0 rozwiązuje ten problem, usuwając wsparcie dla wzorców wyszukiwania wiadomości i domyślnie wyłączając funkcjonalność JNDI.

Co mogę zrobić, aby zapewnić sobie ochronę?

Gorąco zachęcamy naszych klientów do skonsultowania się z dostawcami SW i jak najszybszego pobrania łatek bezpieczeństwa oraz aktualizacji dla wszystkich zastosowań SW.

Dla wewnętrznych serwerów lub aplikacji, zachęcamy klientów używających środowiska Log4j 2 do dokonania aktualizacji do wersji Log4j 2.15.0 lub nowszej, zgodnie z wytycznymi Apache https://logging.apache.org/log4j/2.x/

Strony wsparcia dla produktów, których dotyczy wpływ:

Produkt, którego dotyczy problemCVE-2021-44228 (Apache Log4j 2)DataCVE-2021-45046Data
Visibility IQ (VIQF)Ograniczona ekspozycja na tę podatność; rozwiązanie gotoweRozwiązano
12 grudnia 2021
Nie ma wpływuN/a
SOTI MobiControl w wersji 14.3 do 15.4.1 – Środowiska hostingoweOgraniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniemRozwiązano
22 grudnia 2021
Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniemRozwiązano
22 grudnia 2021
PTT Pro Windows/Desktop (G1, G2)Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością.N/aPo wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością.N/a
Komunikator Zebra EnterprisePo sprawdzeniu; używana wersja nie jest objętą tą podatnością.Rozwiązano
15 grudnia, 2021 r.
Nie ma wpływu N/a
FetchOgraniczona ekspozycja na tę podatność. Dział techniczny złagodził skutki problemuRozwiązano
12 grudnia 2021

Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniemPo trwającej ocenie podatności, ten produkt został sklasyfikowany jako nie podlegający podatności.
ReflexisPełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniemRozwiązano: 29 grudnia 2021 r.Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem
Rozwiązano: 7 stycznia 2022 r.
Visibility Server Software (ZLS)Po sprawdzeniu; używana wersja nie jest objętą tą podatnością.Rozwiązano
14 grudnia, 2021 r.
Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. N/a
MotionWorks Enterprise (ZLS)Rozwiązano podatność w ustawieniach ―​​​​​​​Dlog4j2.formatMsgNoLookups=true when starting JVMRozwiązano
14 grudnia, 2021 r.
Niskie ryzyko – Komponenty używające log4j otrzymają żądania tylko po uwierzytelnieniu użytkownika. Nie rejestrują arbitrarnych danych wejściowych użytkowników. Rozwiązano
19 grudnia, 2021 r.
Zebra Profitect (ZPA)Ograniczona ekspozycja na tę podatność. Dział techniczny usunął IntelliJ i Log4J w celu przeprowadzenie ocenyRozwiązano
10 grudnia 2021
Nie ma wpływu N/a
Printer Profile Manager Enterprise (PPME)

Nieobjęte tą podatnością.

Wersje 3.2.7563 i nowsze usuwają i/lub aktualizują pliki oraz kompontenty związane z Log4j.

Przejdź na stronę wsparcia.

Zaktualizowano 8 lutego 2021 r.

Nieobjęte tą podatnością.

Wersje 3.2.7563 i nowsze usuwają i/lub aktualizują pliki oraz kompontenty związane z Log4j.

Przejdź na stronę wsparcia.

Zaktualizowano 8 lutego 2021 r.

Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.

O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.



Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?