Свяжитесь с нами в чате
Загрузчик
Установка соединения, пожалуйста, подождите, пока мы вас подключим.

Новые улучшенные страницы по поддержке и материалам для скачивания уже доступны! Вы просили, и мы послушали. Посетите страницу поддержки и загрузки, чтобы узнать больше об этом обновлении.

Информация об уязвимости Apache Log4j 2 (CVE-2021-44228) / [CVE-2021-45046 (14 дек. 2021 г.)]

Компания Zebra Technologies активно следит за уязвимостью безопасности в служебной программе Apache «Log4j 2» с открытым исходным кодом (CVE-2021-44228). На данный момент мы проводим оценку потенциального влияния, которое уязвимость может оказать на продукты и решения Zebra. Это событие является текущим и мы будем продолжать предоставлять новую информацию о нем посредством наших каналов для связи с клиентами. На нашу страницу поддержки будет добавляться актуальная информация по мере того, как она будет становиться доступной.

Справочная информация: служебная программа Apache Log4j является широко используемым компонентом при запросах на ведение журнала. 9 декабря 2021 г. поступило уведомление об уязвимости, которая может подвергнуть риску систему, использующую Apache Log4j версии 2.14.1 или старее, и позволить злоумышленникам выполнять произвольный код.

10 декабря 2021 г. Национальный институт стандартов и технологий США (NIST) опубликовал критически важное предупреждение о CVE-2021-44228 в категории «Распространенные уязвимости и риски нарушения безопасности». В частности, функции Java Naming Directory Interface (JNDI), используемые при конфигурации, в сообщениях журнала и параметрах, не защищают от контролируемого злоумышленниками протокола LDAP и других конечных точек, связанных с JNDI. Злоумышленник, контролирующий сообщения журнала или параметры сообщений журнала, может выполнять произвольный код, загруженный с удаленных серверов, при активации замены поиска сообщений.

CVE-2021-45046 (14 дек. 2021 г.)

Описание: было обнаружено, что исправление уязвимости CVE-2021-44228 в Apache Log4j 2.15.0 было неполным в некоторых нестандартных конфигурациях. Это может позволить злоумышленникам контролировать входные данные Thread Context Map (MDC), если конфигурация ведения журнала использует нестандартный макет шаблона с поиском контекста (например, $${ctx:loginId}) или шаблоном Thread Context Map (%X, %mdc, или %MDC) для создания вредоносных входных данных с использованием шаблона поиска JNDI, что приводит к атаке типа «отказ в обслуживании» (DOS). Log4j 2.15.0 предпринимает максимальные усилия, чтобы ограничить поиск JNDI LDAP на localhost по умолчанию. Log4j 2.16.0 устраняет эту проблему, удаляя поддержку шаблонов поиска сообщений и отключая функционал JNDI по умолчанию.

Что мне делать, чтобы защититься?

Мы строго рекомендуем клиентам как можно скорее проконсультироваться со своими поставщиками программного обеспечения и получить исправления и обновления для всех затрагиваемых программных приложений

В случае с серверами и приложениями, разрабатываемыми без привлечения специалистов извне, мы строго рекомендуем клиентам, управляющим средами, содержащими Log4j 2, обновиться до Log4j версии 2.15.0 или новее в соответствии с рекомендациями Apache https://logging.apache.org/log4j/2.x/

Страницы поддержки для затронутых продуктов:

Затрагиваемые продуктыCVE-2021-44228 (Apache Log4j 2)ДатаCVE-2021-45046Дата
Visibility IQ (VIQF)Ограниченная подверженность воздействию этой уязвимости; устранение завершеноУстранено
12 дек. 2021 г.
Не затронутоN/A
SOTI MobiControl от версии 14.3 до 15.4.1 — среды выполнения программ под управлением главной программыОграниченная подверженность воздействию этой уязвимости. Инженерный отдел активно работает над решениемУстранено
22 дек. 2021 г.
Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел активно работает над решениемУстранено
22 дек. 2021 г.
PTT Pro для Windows/настольных компьютеров (G1, G2)После продолжения оценки уязвимости следующие продукты Workforce Connect (WFC) были определены, как неподверженные влиянию данной уязвимостиN/AПосле продолжения оценки уязвимости следующие продукты Workforce Connect (WFC) были определены, как неподверженные влиянию данной уязвимостиN/A
Zebra Enterprise MessagingПосле исследования; используемая версия не подвержена влиянию этой уязвимости.Устранено
15 дек. 2021 г.
Не затронуто N/A
FetchОграниченная подверженность воздействию этой уязвимости. Инженерный отдел устранил проблемуУстранено
12 дек. 2021 г.

Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел активно работает над решениемПосле длительной оценки уязвимости было установлено, что данный продукт не подвержен ее воздействию.
ReflexisПолная подверженность воздействию этой уязвимости; инженерный отдел активно работает над решениемУстранено 29 дек. 2021 г.Полная подверженность воздействию этой уязвимости; инженерный отдел активно работает над решением
Устранено 7 янв. 2022 г.
Visibility Server Software (ZLS)После исследования; используемая версия не подвержена влиянию этой уязвимости.Устранено
14 дек. 2021 г.
После исследования; используемая версия не подвержена влиянию этой уязвимости. N/A
MotionWorks Enterprise (ZLS)Уязвимость устранена посредством использования параметра -Dlog4j2.formatMsgNoLookups=true при запуске JVMУстранено
14 дек. 2021 г.
Низкий уровень риска — компоненты, использующие log4j будут получать запросы только после аутентификации пользователя. Они не регистрируют произвольный ввод данных пользователем. Устранено
19 дек. 2021 г.
Zebra Profitect (ZPA)Ограниченная подверженность воздействию этой уязвимости. Инженерный отдел удалил IntelliJ и Log4J для устранения проблемыУстранено
10 дек. 2021 г.
Не затронуто N/A
Printer Profile Manager Enterprise (PPME)

Не подвержено влиянию этой уязвимости.

Версия 3.2.7563 и новее удаляет и/или обновляет файлы и компоненты, связанные с Log4j.

Посетите страницу поддержки.

Обновлено 8 фев. 2021 г.

Не подвержено влиянию этой уязвимости.

Версия 3.2.7563 и новее удаляет и/или обновляет файлы и компоненты, связанные с Log4j.

Посетите страницу поддержки.

Обновлено 8 фев. 2021 г.

Отказ от ответственности: Zebra делает все возможное, чтобы выпустить обновления безопасности или о времени, что Google выпускает свой соответствующий бюллетень безопасности. Однако сроки предоставления обновлений безопасности могут варьироваться в зависимости от региона, модели продукта и сторонних поставщиков программного обеспечения. При некоторых обстоятельствах ОС должна быть обновлена до последнего выпуска технического обслуживания до установки обновлений безопасности. Отдельные обновления продуктов предоставят конкретные рекомендации.

Если не будет отмечено иное, не поступало никаких сообщений об активной эксплуатации или злоупотреблении со стороны клиентов в связи с этими вновь зарегистрированными проблемами.



Знаете ли вы о потенциальной проблеме безопасности с продуктом «Zebra Технологии»?