Apache Log4j 2 Savunmasızlık (CVE-2021-44228) Bilgi / [CVE-2021-45046 (14 Aralık 2021)]

Zebra Technologies, açık kaynak Apache "Log4j 2" yardımcı programında (CVE-2021-44228) güvenlik savunmasızlığını faal olarak takip etmektedir. Şu anda Zebra ürünleri ve çözümleri için korunmasızlığın potansiyel etkisini değerlendiriyoruz. Bu, sürekli bir etkinliktir ve müşteri iletişimi kanallarımız aracılığıyla güncellemeler vermeye devam edeceğiz. Destek sayfamız, hazır oldukça ilgili bilgileri içerecek şekilde güncellenecektir.

Geçmiş: Apache Log4j yardımcı programı, günlüğe kaydetme talepleri için yaygın olarak kullanılan bir bileşendir. 9 Aralık 2021 tarihinde, Apache Log4j sürüm 2.14.1 veya daha eski sürüm çalıştıran bir sistemin tehlikeye düşmesine yol açabilecek ve bir saldırganın rastgele kod yürütmesine izin verebilecek bir savunmasızlık bildirildi.

10 Aralık 2021 tarihinde, NIST, kritik bir Yaygın Savunmasızlıklar ve Maruz Kalma uyarısı yayımladı: CVE-2021-44228. Daha özel olarak, yapılandırmada, günlük mesajlarında ve parametrelerde kullanılan Java Naming Directory Interface (JNDI), saldırgan tarafından kontrol edilen LDAP ve diğer JNDI ile ilgili uç noktalarına karşı koruma sağlamaz. Günlük mesajlarını veya günlük masajı parametrelerini kontrol edebilen bir saldırgan, mesaj arama değişimi etkinleştirildiğinde uzak sunuculardan yüklenen rastgele kodu yürütebilir.

CVE-2021-45046 (14 Aralık 2021)

Açıklama: Apache Log4j 2.15.0'daki CVE-2021-44228'e değinen onarımın belirli varsayılan olmayan yapılandırmalarda eksik olduğu ortaya çıkmıştır. Bu, Thread Context Map (MDC) üzerinde kontrole sahip olan saldırganların, günlüğe kaydetme yapılandırması bir Context Lookup (örneğin, $${ctx:loginId}) veya bir Thread Context Map şablonuna (%X, %mdc veya %MDC) sahip olan varsayılan olmayan bir Pattern Layout kullandığında, JNDI Lookup modeli kullanarak kötü amaçlı veri girişi yapmak üzere veri girişi yapmasına izin verebilir. Log4j 2.15.0, JNDI LDAP aramaları varsayılan olarak yerel sunucuya sınırlandırmak için en iyi çaba girişiminde bulunur. Log4j 2.16.0 bu sorunu mesaj arama şablonları için desteği kaldırıp varsayılan olarak JNDI işlevselliğini devre dışı bırakarak çözer.

Kendimi korumak için ne yapmalıyım?

Müşterilerin tüm etkilenen SW uygulamaları için SW satıcılarına danışmalarını ve yamalar edinip en kısa sürede güncellemelerini önemle öneririz.

Dâhilî olarak geliştirilen sunuclar veya uygulamalar için, Log4j 2 içeren ortamları yöneten müşterilerin Apache yönlendirmesine göre https://logging.apache.org/log4j/2.x/ Log4j 2.15.0 veya daha yeni sürüme güncellemelerini önemle öneririz.

ETKILENEN ÜRÜNLER IÇIN DESTEK Sayfaları:

Etkilenen Ürün CVE-2021-44228 (Apache Log4j 2) Tarih CVE-2021-45046 Tarih
Visibility IQ (VIQF) Bu savunmasızlığa sınırlı maruz kalma; iyileştirme tamamlandı İyileştirildi
12 Aralık 2021
Etkilenmedi Yok
SOTI MobiControl v 14.3 ila 15.4.1 - Barındırılan Ortamlar Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü bunu çözmek için faal şekilde çalışmaktadır İyileştirildi
22 Aralık 2021
Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü bunu çözmek için faal şekilde çalışmaktadır İyileştirildi
22 Aralık 2021
PTT Pro Windows/Desktop (G1, G2) Savunmasızlığın sürekli olarak değerlendirilmesi üzerine aşağıdaki Workforce Connect (WFC) ürünlerinin bu savunmasızlıktan etkilenmediği belirlenmiştir Yok Savunmasızlığın sürekli olarak değerlendirilmesi üzerine aşağıdaki Workforce Connect (WFC) ürünlerinin bu savunmasızlıktan etkilenmediği belirlenmiştir Yok
Zebra Enterprise Mesajlaşma Araştırma sonrasında; bu savunmasızlıktan etkilenmeyen sürüm kullanıyor. İyileştirildi
15 Aralık 2021
Etkilenmedi Yok
Fetch Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü sorunu hafifletti İyileştirildi
12 Aralık 2021

Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü bunu çözmek için faal şekilde çalışmaktadır Savunmasızlığın sürekli değerlendirilmesi üzerine, bu ürünün etkilenmemiş olduğu belirlendi.
Reflexis Bu savunmasızlığa tam maruz kalma; Mühendislik bölümü sorunu çözmek için faal şekilde çalışıyor 29 Aralık 2021'de düzeltildi Bu savunmasızlığa tam maruz kalma; Mühendislik bölümü sorunu çözmek için faal şekilde çalışıyor
7 Ocak 2022'de düzeltildi
Visibility Server Software (ZLS) Araştırma sonrasında; bu savunmasızlıktan etkilenmeyen sürüm kullanıyor. İyileştirildi
14 Aralık 2021
Araştırma sonrasında; bu savunmasızlıktan etkilenmeyen sürüm kullanıyor. Yok
MotionWorks Enterprise (ZLS) Ayarlama ile savunmasızlık giderildi -Dlog4j2.formatMsgNoLookups=true when starting JVM İyileştirildi
14 Aralık 2021
Düşük Risk - log4j kullanan bileşenler talepleri yalnızca kullanıcının kimliği doğrulandığında alacaktır. Rastgele kullanıcı girişlerini günlüğe kaydetmiyorlar. İyileştirildi
19 Aralık 2021
Zebra Profitect (ZPA) Bu savunmasızlığa sınırlı maruz kalma. Sorunu gidermek için IntelliJ ve Log4J mühendislik bölümü tarafından kaldırıldı İyileştirildi
10 Aralık 2021
Etkilenmedi Yok
Profile Manager Kurumsal Yazıcı (PPME)

Bu savunmasızlıktan etkilenmez.

Sürüm 3.2.7563 ve sonraki sürümler Log4j ile ilgili dosyaları ve bileşenleri kaldırır ve/veya günceller.

Destek sayfası'nı ziyaret edin.

Güncelleme 8 Şubat 2021

Bu savunmasızlıktan etkilenmez.

Sürüm 3.2.7563 ve sonraki sürümler Log4j ile ilgili dosyaları ve bileşenleri kaldırır ve/veya günceller.

Destek sayfası'nı ziyaret edin.

Güncelleme 8 Şubat 2021

Yasal Uyarı: Zebra, Google'ın ilgili güvenlik bültenini yayımlayacağı saat veya bu tarihte güvenlik güncelleştirmelerini yayımlamak için her türlü girişimi yapar. Ancak, güvenlik güncelleştirmelerinin teslim süresi bölgeye, ürün modeline ve üçüncü taraf yazılım tedarikçilerini göre değiştirebilir. Bazı durumlarda, işletim sistemi güvenlik güncelleştirmelerini yüklemeden önce en son bakım sürümüne güncelleştirilmelidir. Tek tek ürün güncelleştirmeleri özel kılavuzlar sağlar.

Aksi belirtilmedikçe, bu yeni bildirilen sorunlardan aktif müşteri sömürüsü veya kötüye kullanım raporu edilmemiştir.



Bir Zebra Technologies ürünüyle ilgili olası bir güvenlik sorununun farkında mısın?