Apache Log4j 2 Savunmasızlık (CVE-2021-44228) Bilgi / [CVE-2021-45046 (14 Aralık 2021)]
Zebra Technologies, açık kaynak Apache "Log4j 2" yardımcı programında (CVE-2021-44228) güvenlik savunmasızlığını faal olarak takip etmektedir. Şu anda Zebra ürünleri ve çözümleri için korunmasızlığın potansiyel etkisini değerlendiriyoruz. Bu, sürekli bir etkinliktir ve müşteri iletişimi kanallarımız aracılığıyla güncellemeler vermeye devam edeceğiz. Destek sayfamız, hazır oldukça ilgili bilgileri içerecek şekilde güncellenecektir.
Geçmiş: Apache Log4j yardımcı programı, günlüğe kaydetme talepleri için yaygın olarak kullanılan bir bileşendir. 9 Aralık 2021 tarihinde, Apache Log4j sürüm 2.14.1 veya daha eski sürüm çalıştıran bir sistemin tehlikeye düşmesine yol açabilecek ve bir saldırganın rastgele kod yürütmesine izin verebilecek bir savunmasızlık bildirildi.
10 Aralık 2021 tarihinde, NIST, kritik bir Yaygın Savunmasızlıklar ve Maruz Kalma uyarısı yayımladı: CVE-2021-44228. Daha özel olarak, yapılandırmada, günlük mesajlarında ve parametrelerde kullanılan Java Naming Directory Interface (JNDI), saldırgan tarafından kontrol edilen LDAP ve diğer JNDI ile ilgili uç noktalarına karşı koruma sağlamaz. Günlük mesajlarını veya günlük masajı parametrelerini kontrol edebilen bir saldırgan, mesaj arama değişimi etkinleştirildiğinde uzak sunuculardan yüklenen rastgele kodu yürütebilir.
CVE-2021-45046 (14 Aralık 2021)
Açıklama: Apache Log4j 2.15.0'daki CVE-2021-44228'e değinen onarımın belirli varsayılan olmayan yapılandırmalarda eksik olduğu ortaya çıkmıştır. Bu, Thread Context Map (MDC) üzerinde kontrole sahip olan saldırganların, günlüğe kaydetme yapılandırması bir Context Lookup (örneğin, $${ctx:loginId}) veya bir Thread Context Map şablonuna (%X, %mdc veya %MDC) sahip olan varsayılan olmayan bir Pattern Layout kullandığında, JNDI Lookup modeli kullanarak kötü amaçlı veri girişi yapmak üzere veri girişi yapmasına izin verebilir. Log4j 2.15.0, JNDI LDAP aramaları varsayılan olarak yerel sunucuya sınırlandırmak için en iyi çaba girişiminde bulunur. Log4j 2.16.0 bu sorunu mesaj arama şablonları için desteği kaldırıp varsayılan olarak JNDI işlevselliğini devre dışı bırakarak çözer.
Kendimi korumak için ne yapmalıyım?
Müşterilerin tüm etkilenen SW uygulamaları için SW satıcılarına danışmalarını ve yamalar edinip en kısa sürede güncellemelerini önemle öneririz.
Dâhilî olarak geliştirilen sunuclar veya uygulamalar için, Log4j 2 içeren ortamları yöneten müşterilerin Apache yönlendirmesine göre https://logging.apache.org/log4j/2.x/ Log4j 2.15.0 veya daha yeni sürüme güncellemelerini önemle öneririz.
ETKILENEN ÜRÜNLER IÇIN DESTEK Sayfaları:
Etkilenen Ürün | CVE-2021-44228 (Apache Log4j 2) | Tarih | CVE-2021-45046 | Tarih |
Visibility IQ (VIQF) | Bu savunmasızlığa sınırlı maruz kalma; iyileştirme tamamlandı | İyileştirildi 12 Aralık 2021 |
Etkilenmedi | Yok |
SOTI MobiControl v 14.3 ila 15.4.1 - Barındırılan Ortamlar | Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü bunu çözmek için faal şekilde çalışmaktadır | İyileştirildi 22 Aralık 2021 |
Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü bunu çözmek için faal şekilde çalışmaktadır | İyileştirildi 22 Aralık 2021 |
PTT Pro Windows/Desktop (G1, G2) | Savunmasızlığın sürekli olarak değerlendirilmesi üzerine aşağıdaki Workforce Connect (WFC) ürünlerinin bu savunmasızlıktan etkilenmediği belirlenmiştir | Yok | Savunmasızlığın sürekli olarak değerlendirilmesi üzerine aşağıdaki Workforce Connect (WFC) ürünlerinin bu savunmasızlıktan etkilenmediği belirlenmiştir | Yok |
Zebra Enterprise Mesajlaşma | Araştırma sonrasında; bu savunmasızlıktan etkilenmeyen sürüm kullanıyor. | İyileştirildi 15 Aralık 2021 |
Etkilenmedi | Yok |
Fetch | Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü sorunu hafifletti | İyileştirildi 12 Aralık 2021 |
Bu savunmasızlığa sınırlı maruz kalma. Mühendislik bölümü bunu çözmek için faal şekilde çalışmaktadır | Savunmasızlığın sürekli değerlendirilmesi üzerine, bu ürünün etkilenmemiş olduğu belirlendi. |
Reflexis | Bu savunmasızlığa tam maruz kalma; Mühendislik bölümü sorunu çözmek için faal şekilde çalışıyor | 29 Aralık 2021'de düzeltildi | Bu savunmasızlığa tam maruz kalma; Mühendislik bölümü sorunu çözmek için faal şekilde çalışıyor | 7 Ocak 2022'de düzeltildi |
Visibility Server Software (ZLS) | Araştırma sonrasında; bu savunmasızlıktan etkilenmeyen sürüm kullanıyor. | İyileştirildi 14 Aralık 2021 |
Araştırma sonrasında; bu savunmasızlıktan etkilenmeyen sürüm kullanıyor. | Yok |
MotionWorks Enterprise (ZLS) | Ayarlama ile savunmasızlık giderildi -Dlog4j2.formatMsgNoLookups=true when starting JVM | İyileştirildi 14 Aralık 2021 |
Düşük Risk - log4j kullanan bileşenler talepleri yalnızca kullanıcının kimliği doğrulandığında alacaktır. Rastgele kullanıcı girişlerini günlüğe kaydetmiyorlar. | İyileştirildi 19 Aralık 2021 |
Zebra Profitect (ZPA) | Bu savunmasızlığa sınırlı maruz kalma. Sorunu gidermek için IntelliJ ve Log4J mühendislik bölümü tarafından kaldırıldı | İyileştirildi 10 Aralık 2021 |
Etkilenmedi | Yok |
Profile Manager Kurumsal Yazıcı (PPME) | Bu savunmasızlıktan etkilenmez. Sürüm 3.2.7563 ve sonraki sürümler Log4j ile ilgili dosyaları ve bileşenleri kaldırır ve/veya günceller. Destek sayfası'nı ziyaret edin. |
Güncelleme 8 Şubat 2021 | Bu savunmasızlıktan etkilenmez. Sürüm 3.2.7563 ve sonraki sürümler Log4j ile ilgili dosyaları ve bileşenleri kaldırır ve/veya günceller. Destek sayfası'nı ziyaret edin. |
Güncelleme 8 Şubat 2021 |
Yasal Uyarı: Zebra, Google'ın ilgili güvenlik bültenini yayımlayacağı saat veya bu tarihte güvenlik güncelleştirmelerini yayımlamak için her türlü girişimi yapar. Ancak, güvenlik güncelleştirmelerinin teslim süresi bölgeye, ürün modeline ve üçüncü taraf yazılım tedarikçilerini göre değiştirebilir. Bazı durumlarda, işletim sistemi güvenlik güncelleştirmelerini yüklemeden önce en son bakım sürümüne güncelleştirilmelidir. Tek tek ürün güncelleştirmeleri özel kılavuzlar sağlar.
Aksi belirtilmedikçe, bu yeni bildirilen sorunlardan aktif müşteri sömürüsü veya kötüye kullanım raporu edilmemiştir.
Bir Zebra Technologies ürünüyle ilgili olası bir güvenlik sorununun farkında mısın?