チャットでのお問い合わせ
ローダー
接続中です。しばらくお待ちください。

近日リリース予定:製品サポートへのアクセスを向上させる製品に焦点を当てた検索とガイド付きナビゲーション。ご意見ありがとうございました。

Apache Log4j 2の脆弱性(CVE-2021-44228)に関する情報/ [CVE-2021-45046(2021年12月14日)]

Zebra Technologiesでは、オープンソースのApache「Log4j 2」ユーティリティ(CVE-2021-44228)におけるセキュリティの脆弱性を積極的に追跡しております。 当社では現在、Zebra製品とソリューションが受け得る脆弱性の影響を評価しています。これは現在進行中の事象であり、当社ではお客様とのコミュニケーションチャネルを通じて、引き続き最新の情報を提供していきます。当社サポートページでは、関連する情報を随時更新していきます。

背景:Apache Log4j ユーティリティは、一般的にリクエストのログ記録に使用するコンポーネントです。2021年12月9日に、Apache Log4j バージョン 2.14.1 以前を実行しているシステムが侵害され、攻撃者が任意のコードを実行できる可能性のある脆弱性が報告されました。

2021年12月10日、NISTは重大な「共通脆弱性識別子」アラート、CVE-2021-44228を公開しました。 具体的には、構成、ログメッセージ、パラメーターで使用される Java Naming Directory Interface(JNDI)機能が、攻撃者の制御下にある LDAP やその他 JNDI 関連エンドポイントに対して保護されていません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換の機能が有効になっている場合に、リモートサーバーから読み込んだ任意のコードを実行することができます。

CVE-2021-45046(2021年12月14日)

内容:Apache Log4j 2.15.0 の CVE-2021-44228 に対処するための修正が、デフォルト以外の特定の設定においては不完全であることが判明しました。これにより、攻撃者は、コンテキスト検索(例:$${ctx:loginId})またはスレッドコンテキストマップパターン(%X、%mdc、%MDCなど)によるデフォルト以外のパターンレイアウトがログ構成で使用されている時に、スレッドコンテキストマップ(MDC)入力データを制御して、JNDI検索パターンを使って悪意のある入力データを作成することができ、その結果、サービス拒否(DOS)攻撃が引き起こされます。Log4j 2.15.0 では、デフォルトで、JNDI LDAP検索をローカルホストに制限するよう最大限の対策を行っています。この問題は、Log4j 2.16.0で、メッセージ検索パターンのサポートを削除し、初期設定でJNDI機能を無効にすることにより修正されます。

自分を守るために何をすべきですか?

SWベンダーにご相談のうえ、影響を受けるすべてのSWアプリケーションのパッチを入手してできるだけ早く更新することを強くお勧めします。

社内で開発されたサーバー、アプリケーションについては、Log4j 2を含む環境を管理しているお客様が、Apache のガイダンス(https://logging.apache.org/log4j/2.x/)に従い、バージョンLog4j 2.15.0以降に更新することを強くお勧めします。

影響を受ける製品のサポートページ:

影響を受ける製品CVE-2021-44228 (Apache Log4j 2)日付CVE-2021-45046日付
Visibility IQ (VIQF)脆弱性に対して限定的に暴露、修復完了済み修正済み
2021年12月12日
影響なしN/a
SOTI MobiControl v 14.3~15.4.1 - ホスティング環境この脆弱性にさらされる可能性は限定的。エンジニアリングチームが解決に取り組んでいます修正済み
2021年12月22日
この脆弱性にさらされる可能性は限定的。エンジニアリングチームが解決に取り組んでいます修正済み
2021年12月22日
PTT Pro Windows/Desktop (G1, G2)脆弱性を継続的に評価した結果、下記のWorkforce Connect(WFC)製品はこの脆弱性の影響を受けないと判断されました。N/a脆弱性を継続的に評価した結果、下記のWorkforce Connect(WFC)製品はこの脆弱性の影響を受けないと判断されました。N/a
Zebraエンタープライズメッセージング調査終了。この脆弱性の影響を受けないバージョンを使用しています。修正済み
2021年12月15日
影響なし N/a
フェッチこの脆弱性にさらされる可能性は限定的。エンジニアリングによって問題が緩和修正済み
2021年12月12日

この脆弱性にさらされる可能性は限定的。エンジニアリングチームが解決に取り組んでいます脆弱性を継続的に評価した結果、この製品は影響を受けないと判断されました。
Reflexis脆弱性に対して完全に暴露されました。エンジニアリングが解決に取り組んでいます。2021年12月29日修正済み脆弱性に対して完全に暴露されました。エンジニアリングが解決に取り組んでいます。
2022年1月7日修正済み
可視性サーバーソフトウェア(ZLS)調査終了。この脆弱性の影響を受けないバージョンを使用しています。修正済み
2021年12月14日
調査終了。この脆弱性の影響を受けないバージョンを使用しています。 N/a
MotionWorksエンタープライズ(ZLS)JVM起動時に「Dlog4j2.formatMsgNoLookups=true」を設定することで脆弱性を修正しました。修正済み
2021年12月14日
低リスク - log4jを使用するコンポーネントは、ユーザーが認証された場合のみリクエストを受信します。任意のユーザー入力は記録されません。修正済み
2021年12月19日
Zebra Profitect (ZPA)この脆弱性にさらされる可能性は限定的。エンジニアリングチームがIntelliJ および Log4Jを削除して修正修正済み
2021年12月10日
影響なし N/a
プリンタProfile Manager Enterprise (PPME)

この脆弱性の影響を受けません。

バージョン3.2.7563以降は、Log4jに関連するファイルおよびコンポーネントを削除および/または更新します。

サポートページをご覧ください。

2021年2月8日更新

この脆弱性の影響を受けません。

バージョン3.2.7563以降は、Log4jに関連するファイルおよびコンポーネントを削除および/または更新します。

サポートページをご覧ください。

2021年2月8日更新

免責事項: Zebraは、Googleがそれぞれのセキュリティ情報をリリースする時期について、セキュリティアップデートをリリースするようあらゆる試みを行っています。ただし、セキュリティ更新プログラムの配信時間は、地域、製品モデル、およびサード パーティ製ソフトウェアの供給業者によって異なる場合があります。状況によっては、セキュリティ更新プログラムをインストールする前に、OSを最新のメンテナンスリリースに更新する必要があります。個々の製品の更新プログラムは、具体的なガイダンスを提供します。

特に明記されていない限り、これらの新たに報告された問題から積極的な顧客の搾取や悪用の報告はありません。



Zebraテクノロジーズ製品の潜在的なセキュリティ上の問題を認識していますか?