Kriittiset haavoittuvuudet Apache Log4j -Java-kirjastossa
9.12.2021 ilmoitettiin koko alaa koskevasta ongelmasta Apache log4j 2 (CVE-2021-44228) -apuohjelmassa. Hyökkääjät voivat hyödyntää haavoittuvuutta koodin etäsuorittamiseen (RCE). Näin he voivat tunkeutua luvatta isäntäjärjestelmiin. Apache Software Foundation on julkaissut apuohjelmasta päivitetyn version (v2.15.0), joka korjaa tämän ongelman.
14. joulukuuta 2021 ilmoitettiin ongelmasta Apache log4j 2 v2.15.0 (CVE-2021-45046) -apuohjelmassa. Hyökkääjät voivat hyödyntää haavoittuvuutta koodin etäsuorittamiseen (RCE) myös tietyissä ei-oletusarvoisissa kokoonpanoissa, joissa käytetään JNDI-ominaisuuksia. Isäntäjärjestelmät, joissa käytettiin versiota 2.15.0, voivat myös olla alttiita palvelunestohyökkäyksille (DoS-hyökkäyksille). Apache Software Foundation on julkaissut version (v2.16.0), joka ratkaisee tämän ongelman.
Jatkamme uusien Apache-korjausten arviointia ja soveltamista Adoben tuotteisiin sitä mukaa kuin niitä julkaistaan.
Olemme perehtyneet ongelman mahdollisiin vaikutuksiin ja noudatamme Apache Software Foundationin suosituksia. Tutkinta on valmistunut, eikä Adobe ole havainnut viitteitä asiakastietoihin kohdistuneista vaikutuksista.
Seuraavassa taulukossa:
”Torjuttu” tarkoittaa, että CVE on käsitelty tuotteessa tai palvelussa.
”Ei käytössä” tarkoittaa, että tuote tai palvelu ei käytä haavoittuvaista Apache log4j 2 -kirjastoa.
Tuote |
CVE-2021-44228 |
CVE-2021-45046 |
Peruspalvelut |
||
Adobe I/O |
Ei käytössä |
Ei käytössä |
Adobe Identity Management -palvelut (Adobe ID) |
Torjuttu |
Torjuttu |
Adobe-tilin hallinta | Ei käytössä |
Ei käytössä |
Adobe User Sync Tool |
Ei käytössä |
Ei käytössä |
Adobe Admin Console |
Ei käytössä | Ei käytössä |
Adobe Creative Cloud |
||
Adobe Creative Cloud -palvelut (kirjastot, yhteistyö, tallennus, synkronointi, ilmoitukset, Web-käyttöliittymä) |
Torjuttu |
Torjuttu |
Adobe Creative Cloud -tietokone-/mobiilisovellukset |
Ei käytössä |
Ei käytössä |
Adobe Creative Cloud -mobiili-SDK:t | Ei käytössä |
Ei käytössä |
Adobe Express |
Ei käytössä |
Ei käytössä |
Adobe Capture |
Ei käytössä |
Ei käytössä |
Adobe Color |
Ei käytössä |
Ei käytössä |
Adobe Fonts (TypeKit) | Torjuttu | Torjuttu |
Adobe Behance |
Torjuttu |
Torjuttu |
Frame.io by Adobe |
Ei käytössä |
Ei käytössä |
Adobe Portfolio |
Ei käytössä |
Ei käytössä |
Adobe UXP Developer Tool | Ei käytössä | Ei käytössä |
Adobe Bridge |
Ei käytössä |
Ei käytössä |
Adobe Media Encoder |
Ei käytössä |
Ei käytössä |
Adobe Dreamweaver |
Ei käytössä |
Ei käytössä |
Adobe Dimension |
Ei käytössä |
Ei käytössä |
Adobe InDesign |
Ei käytössä |
Ei käytössä |
Adobe InDesign Server |
Ei käytössä |
Ei käytössä |
Adobe InCopy |
Ei käytössä |
Ei käytössä |
Adobe Illustrator |
Ei käytössä |
Ei käytössä |
Adobe Photoshop |
Ei käytössä |
Ei käytössä |
Adobe Premiere Pro |
Ei käytössä |
Ei käytössä |
Adobe After Effects |
Ei käytössä |
Ei käytössä |
Adobe Prelude |
Ei käytössä |
Ei käytössä |
Adobe Premiere Rush |
Ei käytössä |
Ei käytössä |
Adobe Substance Source | Ei käytössä |
Ei käytössä |
Adobe Substance Painter |
Ei käytössä |
Ei käytössä |
Adobe Substance Designer | Ei käytössä |
Ei käytössä |
Adobe Substance Alchemist |
Ei käytössä |
Ei käytössä |
Adobe Aero (sovellukset ja palvelut) | Torjuttu |
Torjuttu |
Adobe Animate |
Ei käytössä |
Ei käytössä |
Adobe Audition | Ei käytössä |
Ei käytössä |
Adobe Character Animator |
Ei käytössä |
Ei käytössä |
Adobe XD | Ei käytössä |
Ei käytössä |
Adobe Lightroom (Classic and CC) |
Ei käytössä |
Ei käytössä |
Adobe Fresco | Ei käytössä |
Ei käytössä |
Mixamo by Adobe |
Torjuttu |
Torjuttu |
Adobe FrameMaker | Ei käytössä |
Ei käytössä |
Adobe Stock |
Torjuttu |
Torjuttu |
Adobe Document Cloud | ||
Adoben dokumentti-/PDF-palvelut (mukaan lukien APIt) |
Torjuttu |
Torjuttu |
Adobe Sign |
Torjuttu |
Torjuttu |
Adobe Acrobat DC | Ei käytössä |
Ei käytössä |
Adobe Experience Cloud |
||
Adobe Analytics |
Torjuttu |
Torjuttu |
Adobe Analytics Data Workbench | Ei käytössä | Ei käytössä |
Adobe Commerce (Magento) |
Torjuttu |
Torjuttu |
Adobe Customer Journey Analytics | Torjuttu |
Torjuttu |
Adobe Advertising Cloud | Torjuttu | Torjuttu |
Adobe Audience Manager |
Torjuttu |
Torjuttu |
Adobe Campaign Classic (isännöity, hybridi, asiakkaan tiloissa) |
Ei käytössä |
Ei käytössä |
Adobe Campaign Standard | Torjuttu |
Torjuttu |
Adobe Journey Optimizer |
Ei käytössä | Ei käytössä |
Adobe Experience Manager as a Cloud Service |
Torjuttu | Torjuttu |
Adobe Experience Manager as a Managed Service | Ei käytössä |
Ei käytössä |
Adobe Experience Manager (asiakkaan tiloissa, versiot 6.3–6.5) |
Ei käytössä | Ei käytössä |
Adobe Experience Manager Forms | Torjuttu |
Torjuttu |
Adobe Experience Manager Dynamic Media (Scene7) as a Cloud Service | Torjuttu | Torjuttu |
Adobe Experience Manager Dynamic Media (Scene7) as a Managed Service |
Torjuttu | Torjuttu |
Adobe Experience Manager Screens | Ei käytössä |
Ei käytössä |
Adobe Experience Manager Assets Brand Portal |
Ei käytössä |
Ei käytössä |
Adobe Experience Platform Core |
Torjuttu |
Torjuttu |
Adobe Experience Platform Data Foundation | Torjuttu |
Torjuttu |
Adobe Experience Platform Data Science Workspace |
Torjuttu |
Torjuttu |
Adobe Experience Platform Journey Orchestration | Ei käytössä |
Ei käytössä |
Adobe Experience Platform Offer Decisioning Service | Ei käytössä | Ei käytössä |
Adobe Experience Platform Query Service |
Torjuttu |
Torjuttu |
Adobe Experience Platform Activation | Torjuttu |
Torjuttu |
Adobe Experience Platform Tags (DTM/Launch) |
Torjuttu |
Torjuttu |
Adobe Real-time Customer Data Platform (CDP) | Torjuttu |
Torjuttu |
Adobe Marketo Engage |
Torjuttu |
Torjuttu |
Adobe Bizible | Ei käytössä |
Ei käytössä |
Adobe Target |
Torjuttu | Torjuttu |
Adobe Workfront | Torjuttu |
Torjuttu |
Other Products |
||
Adobe Captivate Prime | Ei käytössä |
Ei käytössä |
Adobe Update Server Setup Tool (AUSST) | Ei käytössä | Ei käytössä |
Adobe Remote Update Manager (RUM) | Ei käytössä | Ei käytössä |
Adobe Connect (isännöity, Managed Services) | Torjuttu | Torjuttu |
Adobe Connect (asiakkaan tiloissa) | Torjuttu |
Torjuttu |
Adobe ColdFusion |
Torjuttu |
Torjuttu |
Adobe Photoshop Elements | Ei käytössä | Ei käytössä |
Adobe Premiere Elements | Ei käytössä | Ei käytössä |
Adobe Primetime | Torjuttu | Torjuttu |
Adobe RoboHelp (asiakas/palvelin) | Ei käytössä |
Ei käytössä |
Adobe Feature Restricted Licensing (FRL) -LAN-palvelin |
Ei käytössä |
Ei käytössä |
Työskentelemme aktiivisesti kolmansien osapuolien kanssa varmistaaksemme, että heillä on käytössään torjunta.
Jos sinulla on lisäkysymyksiä, ota yhteyttä omaan Customer Success Manageriisi (CSM), Technical Account Manageriisi (TAM) tai Adoben asiakaspalveluun
Versiot:
20.12.2021: Lisättiin Photoshop Elementsiin ja Premiere Elementsiin ”Ei käytössä”; korjattiin Adobe Experience Manager (asiakkaan tiloissa, versiot 6.3–6.5) -tietoihin ”Ei käytössä”.
21.12.2021: Lisättiin Adobe Advertising Cloudiin ”Torjuttu”; lisättiin Adobe Experience Manager Dynamic Media (Scene 7) as a Managed Serviceen ”Torjuttu”; lisättiin Adobe Experience Platform Offer Decisioning Serviceen ”Ei käytössä”; lisättiin Adobe Fontsiin (Typekit) ”Torjuttu”.
5. tammikuuta 2022: lisättiin tiedot haavoittuvuudesta CVE-2021-45046; korjattiin Adobe Portfolio -tietoihin ”Ei käytössä”.
11. tammikuuta 2022: Lisättiin Adobe Remote Update Manager (RUM) -tietoihin ”Ei käytössä”; lisättiin Adobe Update Server Setup Tool (AUSST) -tietoihin ”Ei käytössä”; päivitettiin huomautus tutkinnan tilasta.
2.2.2022: Lisättiin Adobe UXP Developer Tool -työkalun tietoihin ”–”.
1.7.2022: Creative Cloud Express nimettiin uudelleen Adobe Expressiksi ja Adobe Spark poistettiin kaksoiskappaleena.