Kommunikációs rendszerekben gondolkodunk

Log4j biztonsági probléma – A te eszközöd érintett?

2021. december 17.
A széles körben használt Java Log4j naplozófájllal kapcsolatos világméretű probléma napok óta lázban tartja a világot. Ennek oka az, hogy alig akad gyártó, fejlesztő cég, akinek az eszközét, rendszerét ne érintene. Folyamatosan frissülő cikkünkben az általunk forgalmazott termékek gyártóitól kapott tájékoztatásokat közöljük.

Cikkünk folyamatosan frissül, kérjük, térjen vissza később új információkért.
Utolsó frissítés: 2022.01.06

Bizonyára sokan értesültek róla, hogy a múlt héten egy nagyon súlyos biztonsági rés találtak a rendkívül elterjedten, szinte mindenki által használt, Apache Log4j, Java alapú naplózási segédprogramban. A biztonsági rés az Apache Log4j 2 2.0–2.14.1 verzióit érinti. A fejlesztő szerint a Log4j 1.x verziója nem érzékeny a biztonsági résre. A biztonsági rés hitelesítés nélküli távoli kódfuttatást tesz lehetővé.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228

A biztonsági rés jellemzője, hogy ez egy ún. nulladik napi sérülékenység, azaz a programozók csak akkor szembesülnek a problémával, amikor kiberbűnözők már elkövették a támadást illetve amikor egy másik cég, egy gyártó vagy biztonsági szakemberek fel nem hívja a figyelmüket arra, hogy létezik ez a biztonsági rés. Az ilyen biztonsági rés befoltozására szolgáló javítással egyidőben szokták értesíteni a nagyvilágot a sérülékenység létezéséről, nehogy a hackerek idő előtt megtudják a kiskapu létét és támadást tudjanak indítani rajta keresztül.

A Young B.T.S. Kft. is figyelmemmel kíséri a fejleményeket, és folyamatosan közli ebben a hírben egy-egy gyártó frissen kiadott közleményét a témában.

A gyártó illetve termék/rendszer nevét

  • zölddel színeztük, ha teljesen megbízható, a problémát orvosolták
  • pirossal, ahol érintett az eszköz és még nem javították a hibát

ASCOM

Az Ascom 2021. december 14-ei email tájékoztatásában az alábbiakat közölte rendszereit illetően:

  • Unite: Az Ascom Unite termékek nem használják az érintett Apache Log4j 2 összetevőt, így nem érinti őket ez a biztonsági rés. A Nessus Scan eszköz legfrissebb frissítése után a legtöbb Unite terméken végrehajtotta a gyártó a Nessus-ellenőrzést, és ezzel a sérülékenységgel nem volt probléma.
    Átvizsgált termékek: Unite CM, Unite CS, MMG, CardioMax, Unite Connect, Unite PS (beleértve a Log Collectort is), Unite Axess szerver, Connect for Clinical Systems, Unite AlertTrac, Unite Analyze, Application Suite (Alarm Agent / Job Agent / Ward agent)
  • Mobil eszközök: Ez a biztonsági rés egyetlen terméket sem érint.
  • Digistat: Ez a biztonsági rés egyetlen terméket sem érint.
  • Telecare: A teleCARE IP-termékek nem használják az érintett Apache Log4j 2.0–2.14.1-es verzióit, így nem érinti őket ez a biztonsági rés.
  • Telligence: A Telligence esetében Nessus vizsgálatot hajtottak végre, és nem észleltek sebezhetőséget.

Alcatel-Lucent Enterprise (ALE)

Az ALE business partnerei felé egy pdf fájlt küldött, melyben összeszedték valamennyi rendszerüket, hogy milyen módon lehetnek érintettek.

A pdf innen letölthető.

Kiemeltük a legfőbb, általunk is forgalmazott és eladott rendszerekkel és eszközökkel kapcsolatos legfőbb megállapításokat.

  • OmniPCX Enterprise: egyetlen verzió sem érintett
  • OmniPCX Office/ OXO Connect/ OXO Connect Evolution: egyetlen verzió sem érintett
  • OmniSwitch: egyetlen eszköz sem érintett, az OS2220 eszköz még vizsgálat alatt
  • OmniAccess Stellar AP: egyetlen eszköz sem érintett
  • OmniAccess WLAN APs & Controllers: egyetlen eszköz sem érintett
  • IQ Messenger: A javított verzió 11.3.1, amely december 20-tól, 21-től már elérhető (log4j R2.16 beágyazása)

Az ALE jelenleg az alábbi, általunk nem fogalmazott rendszerek, eszközök terén talált érintettséget, de ezeket javította:

  • OpenTouch megoldások: Hotfix megoldás a TC2930 szerint.
  • VNA: A frissített verzió 2021. december 17-én megjelent.
  • OTFC: Az OTFC 7.6-os verziója nem sérülékeny. A legújabb verzióhoz elérhető javítás. (R9.0.0.663)
  • OTNS: A gyorsjavítás 2021. december 17-én megjelent.
  • IPDSP: A K+F analízis megállapította, hogy egyik verzió sem érintett.

PATTON

A PATTON megnyugtató körlevelet küldött 2021. december 16-án, mely szerint semmi oka az aggodalomra, mert a Patton termékek és a Patton Cloud immunisak a Log4j rosszindulatú programokkal szemben.
A Patton SmartNode VoIP átjárókat, session border controller-eket, szoftvert, hardvert, virtuális CPE-t és a Patton Cloudot JAVA nélkül tervezték és fejlesztették. Ez azt jelenti, hogy a PATTON termékek és szolgáltatások NEM JAVA-t használnak, így NEM érzékenyek a Log4j-re.

2N

A 2N Telecommuncation 2021. december 15-én honlapján kiadott tájékoztatása alaposan ellenőrizték minden terméküket, és garantálják, hogy ez a biztonsági fenyegetés jelenleg nem érinti portfóliójuk egyetlen termékét sem. Ennek oka, hogy nem használják a Log4j 2 könyvtárat a 2N termékekben , így nincs szükség frissítésre. Az egyetlen kivétel a My2N felhőplatform, amely a Log4j 2-t használta egyetlen támogatási rendszerben. Ezt az összetevőt már frissítették egy újabb verzióra, és a fenyegetést teljesen eltávolították.

Kiemelt ajánlatunk

    További híreink

    Változó ünnepi nyitvatartás
    2021. december 6.
    Tájékoztatjuk Önöket, hogy nyitvatartásunk a következőképp alakul decemberben és új év első napjaiban.
    MikulásGyár 2021 – A Young-ban is gyűjtünk karácsonyra
    2021. december 6.
    2021-ben is folytatjuk nemes hagyományunknak: adományokat gyűjtünk a mélyszegénységben élőknek, csatlakozunk a MikulásGyár akciójához.
    Panasonic – Változás a menetrendben a chiphiány miatt
    2021. december 3.
    A Panasonic-ot is szorongatja a chiphiány "mumus", amely a szállítási nehézségekkel karöltve okoz nem kis fejtörést a gyártónak telekommunikációs iparágának megszüntetésében. A korábbi terveket felülírta az élet, így a japán vállalat módosítani kényszerült a napokban a korábban meghirdetett ...
    TörlésKijelöltek összehasonlítása