Cikkünk folyamatosan frissül, kérjük, térjen vissza később új információkért.
Utolsó frissítés: 2022.01.06

Bizonyára sokan értesültek róla, hogy a múlt héten egy nagyon súlyos biztonsági rés találtak a rendkívül elterjedten, szinte mindenki által használt, Apache Log4j, Java alapú naplózási segédprogramban. A biztonsági rés az Apache Log4j 2 2.0–2.14.1 verzióit érinti. A fejlesztő szerint a Log4j 1.x verziója nem érzékeny a biztonsági résre. A biztonsági rés hitelesítés nélküli távoli kódfuttatást tesz lehetővé.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228

A biztonsági rés jellemzője, hogy ez egy ún. nulladik napi sérülékenység, azaz a programozók csak akkor szembesülnek a problémával, amikor kiberbűnözők már elkövették a támadást illetve amikor egy másik cég, egy gyártó vagy biztonsági szakemberek fel nem hívja a figyelmüket arra, hogy létezik ez a biztonsági rés. Az ilyen biztonsági rés befoltozására szolgáló javítással egyidőben szokták értesíteni a nagyvilágot a sérülékenység létezéséről, nehogy a hackerek idő előtt megtudják a kiskapu létét és támadást tudjanak indítani rajta keresztül.

A Young B.T.S. Kft. is figyelmemmel kíséri a fejleményeket, és folyamatosan közli ebben a hírben egy-egy gyártó frissen kiadott közleményét a témában.

A gyártó illetve termék/rendszer nevét

• zölddel színeztük, ha teljesen megbízható, a problémát orvosolták
• pirossal, ahol érintett az eszköz és még nem javították a hibát

ASCOM

Az Ascom 2021. december 14-ei email tájékoztatásában az alábbiakat közölte rendszereit illetően:

• Unite: Az Ascom Unite termékek nem használják az érintett Apache Log4j 2 összetevőt, így nem érinti őket ez a biztonsági rés. A Nessus Scan eszköz legfrissebb frissítése után a legtöbb Unite terméken végrehajtotta a gyártó a Nessus-ellenőrzést, és ezzel a sérülékenységgel nem volt probléma.
  Átvizsgált termékek: Unite CM, Unite CS, MMG, CardioMax, Unite Connect, Unite PS (beleértve a Log Collectort is), Unite Axess szerver, Connect for Clinical Systems, Unite AlertTrac, Unite Analyze, Application Suite (Alarm Agent / Job Agent / Ward agent)
• Mobil eszközök: Ez a biztonsági rés egyetlen terméket sem érint.
• Digistat: Ez a biztonsági rés egyetlen terméket sem érint.
• Telecare: A teleCARE IP-termékek nem használják az érintett Apache Log4j 2.0–2.14.1-es verzióit, így nem érinti őket ez a biztonsági rés.
• Telligence: A Telligence esetében Nessus vizsgálatot hajtottak végre, és nem észleltek sebezhetőséget.

Alcatel-Lucent Enterprise (ALE)

Az ALE business partnerei felé egy pdf fájlt küldött, melyben összeszedték valamennyi rendszerüket, hogy milyen módon lehetnek érintettek.

A pdf innen letölthető.

Kiemeltük a legfőbb, általunk is forgalmazott és eladott rendszerekkel és eszközökkel kapcsolatos legfőbb megállapításokat.

• OmniPCX Enterprise: egyetlen verzió sem érintett
• OmniPCX Office/ OXO Connect/ OXO Connect Evolution: egyetlen verzió sem érintett
• OmniSwitch: egyetlen eszköz sem érintett, az OS2220 eszköz még vizsgálat alatt
• OmniAccess Stellar AP: egyetlen eszköz sem érintett
• OmniAccess WLAN APs & Controllers: egyetlen eszköz sem érintett
• IQ Messenger: A javított verzió 11.3.1, amely december 20-tól, 21-től már elérhető (log4j R2.16 beágyazása)

Az ALE jelenleg az alábbi, általunk nem fogalmazott rendszerek, eszközök terén talált érintettséget, de ezeket javította:

• OpenTouch megoldások: Hotfix megoldás a TC2930 szerint.
• VNA: A frissített verzió 2021. december 17-én megjelent.
• OTFC: Az OTFC 7.6-os verziója nem sérülékeny. A legújabb verzióhoz elérhető javítás. (R9.0.0.663)
• OTNS: A gyorsjavítás 2021. december 17-én megjelent.
• IPDSP: A K+F analízis megállapította, hogy egyik verzió sem érintett.

PATTON

A PATTON megnyugtató körlevelet küldött 2021. december 16-án, mely szerint semmi oka az aggodalomra, mert a Patton termékek és a Patton Cloud immunisak a Log4j rosszindulatú programokkal szemben.
A Patton SmartNode VoIP átjárókat, session border controller-eket, szoftvert, hardvert, virtuális CPE-t és a Patton Cloudot JAVA nélkül tervezték és fejlesztették. Ez azt jelenti, hogy a PATTON termékek és szolgáltatások NEM JAVA-t használnak, így NEM érzékenyek a Log4j-re.

2N

A 2N Telecommuncation 2021. december 15-én honlapján kiadott tájékoztatása alaposan ellenőrizték minden terméküket, és garantálják, hogy ez a biztonsági fenyegetés jelenleg nem érinti portfóliójuk egyetlen termékét sem. Ennek oka, hogy nem használják a Log4j 2 könyvtárat a 2N termékekben , így nincs szükség frissítésre. Az egyetlen kivétel a My2N felhőplatform, amely a Log4j 2-t használta egyetlen támogatási rendszerben. Ezt az összetevőt már frissítették egy újabb verzióra, és a fenyegetést teljesen eltávolították.