Информация об уязвимости Apache Log4j 2 (CVE-2021-44228) / [CVE-2021-45046 (14 дек. 2021 г.)]

Компания Zebra Technologies активно следит за уязвимостью безопасности в служебной программе Apache «Log4j 2» с открытым исходным кодом (CVE-2021-44228). На данный момент мы проводим оценку потенциального влияния, которое уязвимость может оказать на продукты и решения Zebra. Это событие является текущим и мы будем продолжать предоставлять новую информацию о нем посредством наших каналов для связи с клиентами. На нашу страницу поддержки будет добавляться актуальная информация по мере того, как она будет становиться доступной.

Справочная информация: служебная программа Apache Log4j является широко используемым компонентом при запросах на ведение журнала. 9 декабря 2021 г. поступило уведомление об уязвимости, которая может подвергнуть риску систему, использующую Apache Log4j версии 2.14.1 или старее, и позволить злоумышленникам выполнять произвольный код.

10 декабря 2021 г. Национальный институт стандартов и технологий США (NIST) опубликовал критически важное предупреждение о CVE-2021-44228 в категории «Распространенные уязвимости и риски нарушения безопасности». В частности, функции Java Naming Directory Interface (JNDI), используемые при конфигурации, в сообщениях журнала и параметрах, не защищают от контролируемого злоумышленниками протокола LDAP и других конечных точек, связанных с JNDI. Злоумышленник, контролирующий сообщения журнала или параметры сообщений журнала, может выполнять произвольный код, загруженный с удаленных серверов, при активации замены поиска сообщений.

CVE-2021-45046 (14 дек. 2021 г.)

Описание: было обнаружено, что исправление уязвимости CVE-2021-44228 в Apache Log4j 2.15.0 было неполным в некоторых нестандартных конфигурациях. Это может позволить злоумышленникам контролировать входные данные Thread Context Map (MDC), если конфигурация ведения журнала использует нестандартный макет шаблона с поиском контекста (например, $${ctx:loginId}) или шаблоном Thread Context Map (%X, %mdc, или %MDC) для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа «отказ в обслуживании» (DOS). Log4j 2.15.0 предпринимает максимальные усилия, чтобы ограничить поиск JNDI LDAP на localhost по умолчанию. Log4j 2.16.0 устраняет эту проблему, удаляя поддержку шаблонов поиска сообщений и отключая функционал JNDI по умолчанию.

Что мне делать, чтобы защититься?

Мы строго рекомендуем клиентам как можно скорее проконсультироваться со своими поставщиками программного обеспечения и получить исправления и обновления для всех затрагиваемых программных приложений

В случае с серверами и приложениями, разрабатываемыми без привлечения специалистов извне, мы строго рекомендуем клиентам, управляющим средами, содержащими Log4j 2, обновиться до Log4j версии 2.15.0 или новее в соответствии с рекомендациями Apache https://logging.apache.org/log4j/2.x/

СТРАНИЦЫ ПОДДЕРЖКИ ДЛЯ ЗАТРОНУТЫХ ПРОДУКТОВ:

Затрагиваемые продукты CVE-2021-44228 (Apache Log4j 2) Дата CVE-2021-45046 Дата
Visibility IQ (VIQF) Ограниченная подверженность воздействию этой уязвимости; устранение завершено Устранено
12 дек. 2021 г.
Не затронуто N/A
SOTI MobiControl от версии 14.3 до 15.4.1 — среды выполнения программ под управлением главной программы Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел активно работает над решением Устранено
22 дек. 2021 г.
Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел активно работает над решением Устранено
22 дек. 2021 г.
PTT Pro для Windows/настольных компьютеров (G1, G2) После продолжения оценки уязвимости следующие продукты Workforce Connect (WFC) были определены, как неподверженные влиянию данной уязвимости N/A После продолжения оценки уязвимости следующие продукты Workforce Connect (WFC) были определены, как неподверженные влиянию данной уязвимости N/A
Zebra Enterprise Messaging После исследования; используемая версия не подвержена влиянию этой уязвимости. Устранено
15 дек. 2021 г.
Не затронуто  N/A
Fetch Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел устранил проблему Устранено
12 дек. 2021 г.

Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел активно работает над решением После длительной оценки уязвимости было установлено, что данный продукт не подвержен ее воздействию.
Reflexis Полная подверженность воздействию этой уязвимости; инженерный отдел активно работает над решением Устранено 29 дек. 2021 г. Полная подверженность воздействию этой уязвимости; инженерный отдел активно работает над решением
Устранено 7 янв. 2022 г.
Visibility Server Software (ZLS) После исследования; используемая версия не подвержена влиянию этой уязвимости. Устранено
14 дек. 2021 г.
После исследования; используемая версия не подвержена влиянию этой уязвимости.  N/A
MotionWorks Enterprise (ZLS) Уязвимость устранена посредством использования параметра -Dlog4j2.formatMsgNoLookups=true при запуске JVM Устранено
14 дек. 2021 г.
Низкий уровень риска — компоненты, использующие log4j будут получать запросы только после аутентификации пользователя. Они не регистрируют произвольный ввод данных пользователем. Устранено
19 дек. 2021 г.
Zebra Profitect (ZPA) Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел удалил IntelliJ и Log4J для устранения проблемы Устранено
10 дек. 2021 г.
Не затронуто  N/A
Printer Profile Manager Enterprise (PPME)

Не подвержено влиянию этой уязвимости.

Версия 3.2.7563 и новее удаляет и/или обновляет файлы и компоненты, связанные с Log4j.

Посетите страницу поддержки.

Обновлено 8 фев. 2021 г.

Не подвержено влиянию этой уязвимости.

Версия 3.2.7563 и новее удаляет и/или обновляет файлы и компоненты, связанные с Log4j.

Посетите страницу поддержки.

Обновлено 8 фев. 2021 г.

Отказ от ответственности: Zebra делает все возможное, чтобы выпустить обновления безопасности или о времени, что Google выпускает свой соответствующий бюллетень безопасности. Однако сроки предоставления обновлений безопасности могут варьироваться в зависимости от региона, модели продукта и сторонних поставщиков программного обеспечения. При некоторых обстоятельствах ОС должна быть обновлена до последнего выпуска технического обслуживания до установки обновлений безопасности. Отдельные обновления продуктов предоставят конкретные рекомендации.

Если не будет отмечено иное, не поступало никаких сообщений об активной эксплуатации или злоупотреблении со стороны клиентов в связи с этими вновь зарегистрированными проблемами.



Знаете ли вы о потенциальной проблеме безопасности с продуктом «Zebra Технологии»?