채팅하기
로더
연결을 설정 중입니다. 연결하는 동안 잠시 기다려 주십시오.

개봉박두: 제품 중심 검색 및 안내 탐색을 통해 제품 지원에 대한 접근성을 개선합니다. 여러분의 피드백에 감사드리며 계속 지켜봐 주세요!

Apache Log4j 2 취약점(CVE-2021-44228) 정보/[CVE-2021-45046 (2021년 12월 14일]

Zebra Technologies는 오픈 소스 Apache "Log4j 2" 유틸리티 (CVE-2021-44228)의 보안 취약점을 적극적으로 추적하고 있습니다. 현재 Zebra 제품 및 솔루션에 영향을 미칠 수 있는 잠재적 취약성에 대해 평가하고 있습니다. 이런한 활동은 아직 진행 중이며 고객 커뮤니케이션 채널을 통해 계속해서 업데이트할 것입니다. 관련 정보를 확보하는 대로 지원 페이지에 업데이트하여 반영하겠습니다.

배경: Apache Log4j 유틸리티는 로깅 요청에 흔히 사용하는 구성요소입니다. 2021년 12월 9일에 Apache Log4j 버전 2.14.1 이하를 실행하는 시스템이 손상되고 공격자가 임의 코드를 실행할 수 있다는 취약점이 보고되었습니다.

2021년 12월 10일, NIST는 중요한 일반 취약성 및 노출 경고 CVE-2021-44228를 발표했습니다. 보다 구체적으로 보면, 구성, 로그 메시지, 매개변수에 사용하는 자바 네이밍 디렉터리 인터페이스(JNDI) 기능은 공격자가 제어하는 ​​LDAP 및 기타 JNDI 관련 엔드포인트에 대해 보호하지 않습니다. 로그 메시지 또는 로그 메시지 매개변수를 제어할 수 있는 공격자는 메시지 조회 대체가 활성화된 경우 원격 서버에서 로드된 임의 코드를 실행할 수 있습니다.

CVE-2021-45046 (2021년 12월 14일)

상세: Apache Log4j 2.15.0에서 CVE-2021-44228를 해결하기 위한 수정이 기본이 아닌 특정 구성에서 불완전했음이 밝혀졌습니다. 이로 인해 MDC(스레드 컨텍스트 맵) 입력 데이터를 제어할 수 있는 공격자가 로깅 구성이 컨텍스트 조회(예: $${ctx:loginId}) 또는 스레드 컨텍스트 맵 패턴(%X, %mdc, %MDC) 중에 하나와 기본이 아닌 패턴 레이아웃을 사용할 때 JNDI 조회 패턴을 사용하여 악성 입력 데이터를 조작하여 서비스 거부(DOS) 공격을 일으킬 수 있게 됩니다. Log4j 2.15.0는 기본적으로 JNDI LDAP 조회를 로컬호스트로 제한하기 위해 최선을 다합니다. Log4j 2.16.0은 메시지 조회 패턴에 대한 지원을 제거하고 기본적으로 JNDI 기능을 비활성화하여 이 문제를 해결합니다.

스스로를 보호하려면 어떻게 해야 합니까?

담당 소프트웨어 공급업체에 문의하고 영향을 받는 모든 SW 응용프로그램을 가능한 한 빨리 패치 및 업데이트할 것을 고객들에게 강력히 권장합니다.

내부적으로 개발한 서버 또는 응용프로그램 경우 Log4j 2 포함 환경을 관리하는 고객은 Log4j 2.15.0 이후 버전으로 업데이트할 것을 강력 권장합니다. https://logging.apache.org/log4j/2.x/에서 Apache 지침을 반드시 확인해 주십시오.

영향을 받은 제품에 대한 지원 페이지:

영향을 받은 제품CVE-2021-44228 (Apache Log4j 2)날짜CVE-2021-45046날짜
가시성 IQ(VIQF)이 취약점에 제한적 노출, 시정 완료시정됨
2021년 12월 12일
영향 없음해당/A
SOTI MobiControl v 14.3에서 15.4.1 - 호스팅 환경이 취약점에 제한된 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중시정됨
2021년 12월 22일
이 취약점에 제한된 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중시정됨
2021년 12월 22일
PTT 프로 윈도/데스크톱 (G1, G2)취약성에 대한 지속적인 평가로 다음 WFC(워크포스 커넥트) 제품은 이 취약성의 영향을 받지 않는 것으로 확인됨해당/A취약성에 대한 지속적인 평가로 다음 WFC(워크포스 커넥트) 제품은 이 취약성의 영향을 받지 않는 것으로 확인됨해당/A
Zebra 엔터프라이즈 메시징조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다.시정됨
2021년 12월 15일
영향 없음 해당/A
Fetch이 취약점에 제한된 노출. 엔지니어링이 문제 경감함시정됨
2021년 12월 12일

이 취약점에 제한된 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중취약점에 대해 지속적으로 평가한 결과 이 제품은 영향을 받지 않는 것으로 확인되었습니다.
Reflexis이 취약점에 전면 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중2021년 12월 29일 수정이 취약점에 전면 노출. 문제 해결을 위해 엔지니어링이 적극 노력 중
2022년 1월 7일 수정
가시성 서버 소프트웨어(ZLS)조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다.시정됨
2021년 12월 14일
조사 후, 이 취약점의 영향을 받지 않는 버전을 사용하고 있습니다. 해당/A
모션웍스 엔터프라이즈(ZLS)JVM 시작 시 -Dlog4j2.formatMsgNoLookups=true를 설정하여 취약점 시정함시정됨
2021년 12월 14일
저위험 - log4j를 사용하는 구성요소는 사용자가 인증된 경우에만 요청을 수신할 것입니다. 임의적인 사용자 입력은 로그하지 않습니다. 시정됨
2021년 12월 19일
Zebra Profitect(ZPA)이 취약점에 제한된 노출. 엔지니어링이 시정을 위해 IntelliJ 및 Log4J 제거시정됨
2021년 12월 10일
영향 없음 해당/A
프린터 프로필 매니저 엔터프라이즈(PPME)

이 취약성의 영향이 없습니다.

버전 3.2.7563 이상은 Log4j 관련 파일 및 구성요소를 제거 및/또는 업데이트합니다.

지원 페이지를 방문하십시오.

2021년 2월 8일 업데이트

이 취약성의 영향이 없습니다.

버전 3.2.7563 이상은 Log4j 관련 파일 및 구성요소를 제거 및/또는 업데이트합니다.

지원 페이지를 방문하십시오.

2021년 2월 8일 업데이트

면책 조항: Zebra는 구글에서 해당 보안 공지를 릴리스하는 시점에 대한 보안 업데이트를 릴리스하려고 모든 노력을 합니다. 그러나 보안 업데이트 실행 시간은 지역, 제품 모델, 타사 소프트웨어 공급업체에 따라 달라질 수 있습니다. 경우에 따라 보안 업데이트 설치 전에 OS를 최신 유지관리 릴리스로 업데이트해야 합니다. 개별 제품 업데이트에서 구체적인 지침을 제공합니다.

달리 명시되지 않는 한, 새로 보고된 문제로부터 의한 적극적인 고객 착취 또는 남용에 대한 보고는 없었습니다.



Zebra Technologies 제품의 잠재적인 보안 문제를 알고 있습니까?