Informacje o podatności (CVE-2021-44228) w Apache Log4j 2 / [CVE-2021-45046 (14 grudnia 2021 r.)]

Zebra Technologies aktywnie śledzi podatności bezpieczeństwa w narzędziu open-source Apache „Log4j 2” (CVE-2021-44228). Obecnie oceniamy potencjalny wpływ tej podatności na produkty i rozwiązania firmy Zebra. Robimy to nieustannie i zamierzamy kontynuować dostarczanie aktualizacji za pośrednictwem naszych kanałów komunikacji z klientami. Nasz strona pomocy technicznej zostanie zaktualizowana i będzie zawierała bieżące informacje, gdy tylko będą one dostępne.

Kontekst: Narzędzie Apache Log4j jest szeroko używanym komponentem do rejestrowania zapytań. 9 grudnia 2021 r. zgłoszono podatność, która umożliwia systemowi Apache Log4j do wersji 2.14.1 ujawnienie danych i uruchomienie hakerowi arbitralnego kodu.

10 grudnia 2021 r. NIST opublikowało ostrzeżenie o krytycznych podatnościach, CVE-2021-44228. Uściślając, funkcje Java Naming Directory Interface (JNDI) używane w konfiguracji, dzienniku wiadomości i parametrach, nie chroni przed atakiem z przejęciem LDAP lub innych punktów końcowych związanych z JNDI. Atakujący, który potrafi przejąć rejestr wiadomości lub parametry rejestru wiadomości, może uruchomić arbitralny kod przesłany ze zdalnych serwerów, gdy substytut wyszukiwania wiadomości jest włączony.

CVE-2021-45046 (14 grudnia 2021 r.)

Opis: Dowiedziono, że znalezione rozwiązanie na podatność CVE-2021-44228 w Apache Log4j 2.15.0 było niewystarczające w niektórych niestandardowych konfiguracjach. Pozwalało ono atakującym przejęcie kontroli nad wprowadzanymi danymi z mapy kontekstowej wątków (MDC), gdy rejestr konfiguracji wykorzystuje niestandardowy układ wzorów do wyszukiwania kontekstowego (np. $${ctx:loginId}) lub wzoru mapy kontekstowej wątków (%X, %mdc lub %MDC) do stworzenia szkodliwych danych wejściowych we wzorcu wyszukiwania JNDI, co może skutkować atakiem typu DOS. Log4j 2.15.0 dokonuje wszelikch starań, by ograniczyć domyślne wyszukiwanie JNDI LDAP w localhost. Log4j 2.16.0 rozwiązuje ten problem, usuwając wsparcie dla wzorców wyszukiwania wiadomości i domyślnie wyłączając funkcjonalność JNDI.

Co mogę zrobić, aby zapewnić sobie ochronę?

Gorąco zachęcamy naszych klientów do skonsultowania się z dostawcami SW i jak najszybszego pobrania łatek bezpieczeństwa oraz aktualizacji dla wszystkich zastosowań SW.

Dla wewnętrznych serwerów lub aplikacji, zachęcamy klientów używających środowiska Log4j 2 do dokonania aktualizacji do wersji Log4j 2.15.0 lub nowszej, zgodnie z wytycznymi Apache https://logging.apache.org/log4j/2.x/

STRONY POMOCY TECHNICZNEJ DOTYCZĄCE PRODUKTÓW, NA KTÓRE MA TO WPŁYW:

Produkt, którego dotyczy problem CVE-2021-44228 (Apache Log4j 2) Data CVE-2021-45046 Data
Visibility IQ (VIQF) Ograniczona ekspozycja na tę podatność; rozwiązanie gotowe Rozwiązano
12 grudnia 2021 r.
Nie ma wpływu N/a
SOTI MobiControl w wersji 14.3 do 15.4.1 – Środowiska hostingowe Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem Rozwiązano
22 grudnia 2021 r.
Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem Rozwiązano
22 grudnia 2021 r.
PTT Pro Windows/Desktop (G1, G2) Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością. N/a Po wydłużonej ocenie podatności, następujące produkty Workforce Connect (WFC) zostały określone jako nieobjęte tą podatnością. N/a
Komunikator Zebra Enterprise Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. Rozwiązano
15 grudnia 2021 r.
Nie ma wpływu N/a
Fetch Ograniczona ekspozycja na tę podatność. Dział techniczny złagodził skutki problemu Rozwiązano
12 grudnia 2021 r.

Ograniczona ekspozycja na tę podatność. Dział techniczny aktywnie pracuje nad rozwiązaniem Po trwającej ocenie podatności, ten produkt został sklasyfikowany jako nie podlegający podatności.
Reflexis Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem Rozwiązano: 29 grudnia, 2021 r. Pełna ekspozycja na tę podatność; dział techniczny aktywnie pracuje nad rozwiązaniem
Rozwiązano: 7 stycznia, 2022 r.
Visibility Server Software (ZLS) Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. Rozwiązano
14 grudnia 2021 r.
Po sprawdzeniu; używana wersja nie jest objętą tą podatnością. N/a
MotionWorks Enterprise (ZLS) Rozwiązano podatność w ustawieniach -Dlog4j2.formatMsgNoLookups=true podczas uruchamiania JVM. Rozwiązano
14 grudnia 2021 r.
Niskie ryzyko – Komponenty używające log4j otrzymają żądania tylko po uwierzytelnieniu użytkownika. Nie rejestrują arbitrarnych danych wejściowych użytkowników. Rozwiązano
19 grudnia 2021 r.
Zebra Profitect (ZPA) Ograniczona ekspozycja na tę podatność. Dział techniczny usunął IntelliJ i Log4J w celu przeprowadzenie oceny Rozwiązano
10 grudnia 2021 r.
Nie ma wpływu N/a
Printer Profile Manager Enterprise (PPME)

Nieobjęte tą podatnością.

Wersje 3.2.7563 i nowsze usuwają i/lub aktualizują pliki oraz kompontenty związane z Log4j.

Przejdź na stronę wsparcia.

Zaktualizowano 8 lutego 2021 r.

Nieobjęte tą podatnością.

Wersje 3.2.7563 i nowsze usuwają i/lub aktualizują pliki oraz kompontenty związane z Log4j.

Przejdź na stronę wsparcia.

Zaktualizowano 8 lutego 2021 r.

Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.

O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.



Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?