Apache Log4j Java 库中的关键漏洞
2021 年 12 月 9 日,Apache log4j 2 (CVE-2021-44228) 中报告了一个涉及全行业的漏洞,对手可能利用该漏洞发起远程代码执行 (RCE)。 这可能导致主机系统遭到未授权访问。 Apache Software Foundation 已提供解决该问题的更新版本 (v2.15.0)。
2021 年 12 月 14 日,Apache log4j 2 v2.15.0 (CVE-2021-45046) 中报告了一个问题,该问题会导致使用 JNDI 功能的某些非默认配置也容易被攻击者利用,以实现远程代码执行 (RCE)。 应用 v2.15.0 的主机系统也可能会遭到拒绝服务 (DoS) 攻击。 Apache Software Foundation 已发布版本 (v2.16.0) 来解决这一问题。
Apache 还发布了其他修补程序,我们将继续对其进行评估,并视具体情况应用于 Adobe 产品。
我们已经调查了潜在影响,并遵循 Apache Software Foundation 提供的建议指导。 我们的调查已经结束,Adobe 尚未发现任何表明客户数据已经受到影响的迹象。
在下表中:
“已缓解”表示产品/服务已成功解决 CVE。
“不适用”表示该产品/服务不使用有漏洞的 Apache log4j 2 库。
产品 |
CVE-2021-44228 |
CVE-2021-45046 |
核心服务 |
||
Adobe I/O |
不适用 |
不适用 |
Adobe Identity Management Services (Adobe ID) |
已缓解 |
已缓解 |
Adobe 帐户管理 | 不适用 |
不适用 |
Adobe 用户同步工具 |
不适用 |
不适用 |
Adobe Admin Console |
不适用 | 不适用 |
Adobe Creative Cloud |
||
Adobe Creative Cloud Services(库、协作、存储、同步、通知、Web UI) |
已缓解 |
已缓解 |
Adobe Creative Cloud 桌面/移动应用程序 |
不适用 |
不适用 |
Adobe Creative Cloud Mobile SDK | 不适用 |
不适用 |
Adobe Express |
不适用 |
不适用 |
Adobe Capture |
不适用 |
不适用 |
Adobe Color |
不适用 |
不适用 |
Adobe Fonts (TypeKit) | 已缓解 | 已缓解 |
Adobe Behance |
已缓解 |
已缓解 |
Frame.io by Adobe |
不适用 |
不适用 |
Adobe Portfolio |
不适用 |
不适用 |
Adobe UXP 开发者工具 | 不适用 | 不适用 |
Adobe Bridge |
不适用 |
不适用 |
Adobe Media Encoder |
不适用 |
不适用 |
Adobe Dreamweaver |
不适用 |
不适用 |
Adobe Dimension |
不适用 |
不适用 |
Adobe InDesign |
不适用 |
不适用 |
Adobe InDesign Server |
不适用 |
不适用 |
Adobe InCopy |
不适用 |
不适用 |
Adobe Illustrator |
不适用 |
不适用 |
Adobe Photoshop |
不适用 |
不适用 |
Adobe Premiere Pro |
不适用 |
不适用 |
Adobe After Effects |
不适用 |
不适用 |
Adobe Prelude |
不适用 |
不适用 |
Adobe Premiere Rush |
不适用 |
不适用 |
Adobe Substance Source | 不适用 |
不适用 |
Adobe Substance Painter |
不适用 |
不适用 |
Adobe Substance Designer | 不适用 |
不适用 |
Adobe Substance Alchemist |
不适用 |
不适用 |
Adobe Aero(应用程序和服务) | 已缓解 |
已缓解 |
Adobe Animate |
不适用 |
不适用 |
Adobe Audition | 不适用 |
不适用 |
Adobe Character Animator |
不适用 |
不适用 |
Adobe XD | 不适用 |
不适用 |
Adobe Lightroom(Classic 和 CC) |
不适用 |
不适用 |
Adobe Fresco | 不适用 |
不适用 |
Mixamo by Adobe |
已缓解 |
已缓解 |
Adobe FrameMaker | 不适用 |
不适用 |
Adobe Stock |
已缓解 |
已缓解 |
Adobe Document Cloud | ||
Adobe Document/PDF Services(包括 API) |
已缓解 |
已缓解 |
Adobe Sign |
已缓解 |
已缓解 |
Adobe Acrobat DC | 不适用 |
不适用 |
Adobe Experience Cloud |
||
Adobe Analytics |
已缓解 |
已缓解 |
Adobe Analytics Data Workbench | 不适用 | 不适用 |
Adobe Commerce (Magento) |
已缓解 |
已缓解 |
Adobe Customer Journey Analytics | 已缓解 |
已缓解 |
Adobe Advertising Cloud | 已缓解 | 已缓解 |
Adobe Audience Manager |
已缓解 |
已缓解 |
Adobe Campaign Classic(托管、混合、本地) |
不适用 |
不适用 |
Adobe Campaign Standard | 已缓解 |
已缓解 |
Adobe Journey Optimizer |
不适用 | 不适用 |
Adobe Experience Manager as a Cloud Service |
已缓解 | 已缓解 |
Adobe Experience Manager as a Managed Service | 不适用 |
不适用 |
Adobe Experience Manager(本地,v6.3 - v6.5) |
不适用 | 不适用 |
Adobe Experience Manager Forms | 已缓解 |
已缓解 |
Adobe Experience Manager Dynamic Media (Scene7) as a Cloud Service | 已缓解 | 已缓解 |
Adobe Experience Manager Dynamic Media (Scene7) as a Managed Service |
已缓解 | 已缓解 |
Adobe Experience Manager Screens | 不适用 |
不适用 |
Adobe Experience Manager Assets Brand Portal |
不适用 |
不适用 |
Adobe Experience Platform Core |
已缓解 |
已缓解 |
Adobe Experience Platform Data Foundation | 已缓解 |
已缓解 |
Adobe Experience Platform Data Science Workspace |
已缓解 |
已缓解 |
Adobe Experience Platform Journey Orchestration | 不适用 |
不适用 |
Adobe Experience Platform Offer Decisioning Service | 不适用 | 不适用 |
Adobe Experience Platform Query Service |
已缓解 |
已缓解 |
Adobe Experience Platform Activation | 已缓解 |
已缓解 |
Adobe Experience Platform Tags (DTM/Launch) |
已缓解 |
已缓解 |
Adobe Real-time Customer Data Platform (CDP) | 已缓解 |
已缓解 |
Adobe Marketo Engage |
已缓解 |
已缓解 |
Adobe Bizible | 不适用 |
不适用 |
Adobe Target |
已缓解 | 已缓解 |
Adobe Workfront | 已缓解 |
已缓解 |
其它产品 |
||
Adobe Captivate Prime | 不适用 |
不适用 |
Adobe Update Server Setup Tool (AUSST) | 不适用 | 不适用 |
Adobe Remote Update Manager (RUM) | 不适用 | 不适用 |
Adobe Connect(托管、Managed Services) | 已缓解 | 已缓解 |
Adobe Connect(本地) | 已缓解 |
已缓解 |
Adobe ColdFusion |
已缓解 |
已缓解 |
Adobe Photoshop Elements | 不适用 | 不适用 |
Adobe Premiere Elements | 不适用 | 不适用 |
Adobe Primetime | 已缓解 | 已缓解 |
Adobe RoboHelp(客户端/服务器) | 不适用 |
不适用 |
Adobe 功能限制许可 (FRL) LAN 服务器 |
不适用 |
不适用 |
我们正在与第三方供应商积极合作,以确保他们制定缓解措施。
如果您还有其他疑问,请联系您的专属客户成功经理(CSM)、技术客户经理 (TAM) 或Adobe 客户关怀团队。
修订:
2021 年 12 月 20 日:将 Photoshop Elements 和 Premiere Elements 添加为“不适用”;将 Adobe Experience Manager(本地,v6.3 - v6.5)更正为“不适用”。
2021 年 12 月 21 日:将 Adobe Advertising Cloud 添加为“已缓解”;将 Adobe Experience Manager Dynamic Media (Scene 7) as a Managed Service 添加为“已缓解”;将 Adobe Experience Platform Offer Decisioning Service 添加为“不适用”;将 Adobe Fonts (Typekit) 添加为“已缓解”。
2022 年 1 月 5 日:添加了有关 CVE-2021-45046 的信息;将 Adobe Portfolio 更正为“不适用”。
2022 年 1 月 11 日:将 Adobe Remote Update Manager (RUM) 和 Added Adobe Update Server Setup Tool (AUSST) 添加为“不适用”;更新了有关调查状态的说明。
2022 年 2 月 2 日:将 Adobe UXP 开发者工具添加为“不适用”。
2022 年 7 月 1 日:将 Creative Cloud Express 重命名为 Adobe Express,并将 Adobe Spark 作为副本删除