Apache Log4j 2 Vulnerability (CVE-2021-44228) Information / [CVE-2021-45046 (Dec 14, 2021)]
Zebra Technologies is actively following the security vulnerability in the open-source Apache “Log4j 2" utility (CVE-2021-44228). We are currently assessing the potential impact of the vulnerability for Zebra products and solutions. Robimy to nieustannie i zamierzamy kontynuować dostarczanie aktualizacji za pośrednictwem naszych kanałów komunikacji z klientami. Nasz strona pomocy technicznej zostanie zaktualizowana i będzie zawierała bieżące informacje, gdy tylko będą one dostępne.
Background: The Apache Log4j utility is a commonly used component for logging requests. On December 9, 2021, a vulnerability was reported that could allow a system running Apache Log4j version 2.14.1 or below to be compromised and allow an attacker to execute arbitrary code.
On December 10, 2021, NIST published a critical Common Vulnerabilities and Exposure alert, CVE-2021-44228. Uściślając, funkcje Java Naming Directory Interface (JNDI) używane w konfiguracji, dzienniku wiadomości i parametrach, nie chroni przed atakiem z przejęciem LDAP lub innych punktów końcowych związanych z JNDI. Atakujący, który potrafi przejąć rejestr wiadomości lub parametry rejestru wiadomości, może uruchomić arbitralny kod przesłany ze zdalnych serwerów, gdy substytut wyszukiwania wiadomości jest włączony.
Description: It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. Pozwalało ono atakującym przejęcie kontroli nad wprowadzanymi danymi z mapy kontekstowej wątków (MDC), gdy rejestr konfiguracji wykorzystuje niestandardowy układ wzorów do wyszukiwania kontekstowego (np. $${ctx:loginId}) lub wzoru mapy kontekstowej wątków (%X, %mdc lub %MDC) do stworzenia szkodliwych danych wejściowych we wzorcu wyszukiwania JNDI, co może skutkować atakiem typu DOS. Log4j 2.15.0 makes a best-effort attempt to restrict JNDI LDAP lookups to localhost by default. Log4j 2.16.0 fixes this issue by removing support for message lookup patterns and disabling JNDI functionality by default.
Co mogę zrobić, aby zapewnić sobie ochronę?
Gorąco zachęcamy naszych klientów do skonsultowania się z dostawcami SW i jak najszybszego pobrania łatek bezpieczeństwa oraz aktualizacji dla wszystkich zastosowań SW.
For internally developed servers or applications we strongly encourage customers who manage environments containing Log4j 2 to update to version Log4j 2.15.0 or later per Apache's guidance https://logging.apache.org/log4j/2.x/
STRONY POMOCY TECHNICZNEJ DOTYCZĄCE PRODUKTÓW, NA KTÓRE MA TO WPŁYW:
| Produkt, którego dotyczy problem | CVE-2021-44228 (Apache Log4j 2) | Data | CVE-2021-45046 | Data |
| Visibility IQ (VIQF) | Ograniczona ekspozycja na tę podatność; rozwiązanie gotowe | Rozwiązano Dec 12th, 2021 |
Nie ma wpływu | N/a |
| SOTI MobiControl w wersji 14.3 do 15.4.1 – Środowiska hostingowe | Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem | Rozwiązano Dec 22nd, 2021 |
Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem | Rozwiązano Dec 22nd, 2021 |
| PTT Pro Windows/Desktop (G1, G2) | Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością. | N/a | Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością. | N/a |
| Komunikator Zebra Enterprise | Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. | Rozwiązano Dec 15, 2021 |
Nie ma wpływu | N/a |
| Fetch | Ograniczona ekspozycja na tę podatność. Dział techniczny złagodził skutki problemu | Rozwiązano Dec 12th, 2021 |
Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem | Po trwającej ocenie podatności, ten produkt został sklasyfikowany jako nie podlegający podatności. |
| Reflexis | Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem | Remediated Dec 29th, 2021 | Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem | Remediated Jan 7th, 2022 |
| Visibility Server Software (ZLS) | Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. | Rozwiązano Dec 14, 2021 |
Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. | N/a |
| MotionWorks Enterprise (ZLS) | Remediated vulnerability by setting -Dlog4j2.formatMsgNoLookups=true when starting JVM | Rozwiązano Dec 14, 2021 |
Low Risk - The components use log4j will only receive requests when the user is authenticated. Nie rejestrują arbitrarnych danych wejściowych użytkowników. | Rozwiązano Dec 19, 2021 |
| Zebra Profitect (ZPA) | Ograniczona ekspozycja na tę podatność. Engineering as removed IntelliJ and Log4J to remediate | Rozwiązano Dec 10th, 2021 |
Nie ma wpływu | N/a |
| Printer Profile Manager Enterprise (PPME) | Nieobjęte tą podatnością. Version 3.2.7563 and later removes and/or updates files and components related to Log4j. Przejdź na stronę wsparcia. |
Updated Feb 8th, 2021 | Nieobjęte tą podatnością. Version 3.2.7563 and later removes and/or updates files and components related to Log4j. Przejdź na stronę wsparcia. |
Updated Feb 8th, 2021 |
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?