Log4j biztonsági probléma – A te eszközöd érintett?
Cikkünk folyamatosan frissül, kérjük, térjen vissza később új információkért.
Utolsó frissítés: 2022.01.06
Bizonyára sokan értesültek róla, hogy a múlt héten egy nagyon súlyos biztonsági rés találtak a rendkívül elterjedten, szinte mindenki által használt, Apache Log4j, Java alapú naplózási segédprogramban. A biztonsági rés az Apache Log4j 2 2.0–2.14.1 verzióit érinti. A fejlesztő szerint a Log4j 1.x verziója nem érzékeny a biztonsági résre. A biztonsági rés hitelesítés nélküli távoli kódfuttatást tesz lehetővé.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
A biztonsági rés jellemzője, hogy ez egy ún. nulladik napi sérülékenység, azaz a programozók csak akkor szembesülnek a problémával, amikor kiberbűnözők már elkövették a támadást illetve amikor egy másik cég, egy gyártó vagy biztonsági szakemberek fel nem hívja a figyelmüket arra, hogy létezik ez a biztonsági rés. Az ilyen biztonsági rés befoltozására szolgáló javítással egyidőben szokták értesíteni a nagyvilágot a sérülékenység létezéséről, nehogy a hackerek idő előtt megtudják a kiskapu létét és támadást tudjanak indítani rajta keresztül.
A Young B.T.S. Kft. is figyelmemmel kíséri a fejleményeket, és folyamatosan közli ebben a hírben egy-egy gyártó frissen kiadott közleményét a témában.
A gyártó illetve termék/rendszer nevét
- zölddel színeztük, ha teljesen megbízható, a problémát orvosolták
- pirossal, ahol érintett az eszköz és még nem javították a hibát
ASCOM
Az Ascom 2021. december 14-ei email tájékoztatásában az alábbiakat közölte rendszereit illetően:
- Unite: Az Ascom Unite termékek nem használják az érintett Apache Log4j 2 összetevőt, így nem érinti őket ez a biztonsági rés. A Nessus Scan eszköz legfrissebb frissítése után a legtöbb Unite terméken végrehajtotta a gyártó a Nessus-ellenőrzést, és ezzel a sérülékenységgel nem volt probléma.
Átvizsgált termékek: Unite CM, Unite CS, MMG, CardioMax, Unite Connect, Unite PS (beleértve a Log Collectort is), Unite Axess szerver, Connect for Clinical Systems, Unite AlertTrac, Unite Analyze, Application Suite (Alarm Agent / Job Agent / Ward agent) - Mobil eszközök: Ez a biztonsági rés egyetlen terméket sem érint.
- Digistat: Ez a biztonsági rés egyetlen terméket sem érint.
- Telecare: A teleCARE IP-termékek nem használják az érintett Apache Log4j 2.0–2.14.1-es verzióit, így nem érinti őket ez a biztonsági rés.
- Telligence: A Telligence esetében Nessus vizsgálatot hajtottak végre, és nem észleltek sebezhetőséget.
Alcatel-Lucent Enterprise (ALE)
Az ALE business partnerei felé egy pdf fájlt küldött, melyben összeszedték valamennyi rendszerüket, hogy milyen módon lehetnek érintettek.
Kiemeltük a legfőbb, általunk is forgalmazott és eladott rendszerekkel és eszközökkel kapcsolatos legfőbb megállapításokat.
- OmniPCX Enterprise: egyetlen verzió sem érintett
- OmniPCX Office/ OXO Connect/ OXO Connect Evolution: egyetlen verzió sem érintett
- OmniSwitch: egyetlen eszköz sem érintett, az OS2220 eszköz még vizsgálat alatt
- OmniAccess Stellar AP: egyetlen eszköz sem érintett
- OmniAccess WLAN APs & Controllers: egyetlen eszköz sem érintett
- IQ Messenger: A javított verzió 11.3.1, amely december 20-tól, 21-től már elérhető (log4j R2.16 beágyazása)
Az ALE jelenleg az alábbi, általunk nem fogalmazott rendszerek, eszközök terén talált érintettséget, de ezeket javította:
- OpenTouch megoldások: Hotfix megoldás a TC2930 szerint.
- VNA: A frissített verzió 2021. december 17-én megjelent.
- OTFC: Az OTFC 7.6-os verziója nem sérülékeny. A legújabb verzióhoz elérhető javítás. (R9.0.0.663)
- OTNS: A gyorsjavítás 2021. december 17-én megjelent.
- IPDSP: A K+F analízis megállapította, hogy egyik verzió sem érintett.
PATTON
A PATTON megnyugtató körlevelet küldött 2021. december 16-án, mely szerint semmi oka az aggodalomra, mert a Patton termékek és a Patton Cloud immunisak a Log4j rosszindulatú programokkal szemben.
A Patton SmartNode VoIP átjárókat, session border controller-eket, szoftvert, hardvert, virtuális CPE-t és a Patton Cloudot JAVA nélkül tervezték és fejlesztették. Ez azt jelenti, hogy a PATTON termékek és szolgáltatások NEM JAVA-t használnak, így NEM érzékenyek a Log4j-re.
2N
A 2N Telecommuncation 2021. december 15-én honlapján kiadott tájékoztatása alaposan ellenőrizték minden terméküket, és garantálják, hogy ez a biztonsági fenyegetés jelenleg nem érinti portfóliójuk egyetlen termékét sem. Ennek oka, hogy nem használják a Log4j 2 könyvtárat a 2N termékekben , így nincs szükség frissítésre. Az egyetlen kivétel a My2N felhőplatform, amely a Log4j 2-t használta egyetlen támogatási rendszerben. Ezt az összetevőt már frissítették egy újabb verzióra, és a fenyegetést teljesen eltávolították.