Kritieke kwetsbaarheden in Apache Log4j Java Library
Op 9 december 2021 werd een branchebreed probleem gemeld in Apache log4j 2 (CVE-2021-44228) dat adverteerders kunnen gebruiken om Remote Code Execution (RCE) te bereiken. Dit kan leiden tot ongeoorloofde toegang tot hostsystemen. Een bijgewerkte versie (v2.15.0) die dit probleem aanpakt is beschikbaar gesteld door de Apache Software Foundation.
Op 14 december 2021 werd een probleem gemeld in Apache log4j 2 v2.15.0 (CVE-2021-45046) dat bepaalde niet-standaard configuraties met JNDI-functies ook gevoelig kan maken voor misbruik door aanvallers voor Remote Code Execution (RCE). Hostsystemen die v2.15.0 hebben toegepast, kunnen ook gevoelig zijn voor denial-of-service (DoS-aanvallen). De Apache Software Foundation heeft een versie uitgebracht (v2.16.0) om dit specifieke probleem op te lossen.
Naarmate meer Apache-patches worden uitgebracht, zullen we deze blijven evalueren en toepassen voor zover ze op Adobe-producten van toepassing zijn.
Wij hebben de mogelijke gevolgen onderzocht en volgen de aanbevolen richtlijnen van de Apache Software Foundation. Uit ons onderzoek blijkt dat Adobe geen aanwijzingen heeft gevonden dat klantgegevens zijn aangetast.
Voor onderstaande tabel:
'Gemitigeerd' betekent dat het product/de service de CVE met succes heeft aangepakt.
'N.v.t. (niet van toepassing)' betekent dat het product/de service geen gebruikmaakt van de kwetsbare Apache log4j 2-bibliotheek.
Product |
CVE-2021-44228 |
CVE-2021-45046 |
Core services |
||
Adobe I/O |
N.v.t. |
N.v.t. |
Adobe Identity Management Services (Adobe ID) |
Gemitigeerd |
Gemitigeerd |
Adobe-accountbeheer | N.v.t. |
N.v.t. |
Adobe User Sync Tool |
N.v.t. |
N.v.t. |
Adobe Admin Console |
N.v.t. | N.v.t. |
Adobe Creative Cloud |
||
Adobe Creative Cloud-services (bibliotheken, samenwerking, opslag, synchronisatie, meldingen, webgebruiksersinterface) |
Gemitigeerd |
Gemitigeerd |
Desktop-/mobiele apps van Adobe Creative Cloud |
N.v.t. |
N.v.t. |
Mobiele SDK's van Adobe Creative Cloud | N.v.t. |
N.v.t. |
Adobe Express |
N.v.t. |
N.v.t. |
Adobe Capture |
N.v.t. |
N.v.t. |
Adobe Color |
N.v.t. |
N.v.t. |
Adobe Fonts (TypeKit) | Gemitigeerd | Gemitigeerd |
Adobe Behance |
Gemitigeerd |
Gemitigeerd |
Frame.io by Adobe |
N.v.t. |
N.v.t. |
Adobe Portfolio |
N.v.t. |
N.v.t. |
Adobe UXP Developer Tool | N.v.t. | N.v.t. |
Adobe Bridge |
N.v.t. |
N.v.t. |
Adobe Media Encoder |
N.v.t. |
N.v.t. |
Adobe Dreamweaver |
N.v.t. |
N.v.t. |
Adobe Dimension |
N.v.t. |
N.v.t. |
Adobe InDesign |
N.v.t. |
N.v.t. |
Adobe InDesign Server |
N.v.t. |
N.v.t. |
Adobe InCopy |
N.v.t. |
N.v.t. |
Adobe Illustrator |
N.v.t. |
N.v.t. |
Adobe Photoshop |
N.v.t. |
N.v.t. |
Adobe Premiere Pro |
N.v.t. |
N.v.t. |
Adobe After Effects |
N.v.t. |
N.v.t. |
Adobe Prelude |
N.v.t. |
N.v.t. |
Adobe Premiere Rush |
N.v.t. |
N.v.t. |
Adobe Substance Source | N.v.t. |
N.v.t. |
Adobe Substance Painter |
N.v.t. |
N.v.t. |
Adobe Substance Designer | N.v.t. |
N.v.t. |
Adobe Substance Alchemist |
N.v.t. |
N.v.t. |
Adobe Aero (apps en services) | Gemitigeerd |
Gemitigeerd |
Adobe Animate |
N.v.t. |
N.v.t. |
Adobe Audition | N.v.t. |
N.v.t. |
Adobe Character Animator |
N.v.t. |
N.v.t. |
Adobe XD | N.v.t. |
N.v.t. |
Adobe Lightroom (Classic en CC) |
N.v.t. |
N.v.t. |
Adobe Fresco | N.v.t. |
N.v.t. |
Mixamo by Adobe |
Gemitigeerd |
Gemitigeerd |
Adobe FrameMaker | N.v.t. |
N.v.t. |
Adobe Stock |
Gemitigeerd |
Gemitigeerd |
Adobe Document Cloud | ||
Adobe Document/PDF-services (inclusief API's) |
Gemitigeerd |
Gemitigeerd |
Adobe Sign |
Gemitigeerd |
Gemitigeerd |
Adobe Acrobat DC | N.v.t. |
N.v.t. |
Adobe Experience Cloud |
||
Adobe Analytics |
Gemitigeerd |
Gemitigeerd |
Adobe Analytics: Data Workbench | N.v.t. | N.v.t. |
Adobe Commerce (Magento) |
Gemitigeerd |
Gemitigeerd |
Adobe Customer Journey Analytics | Gemitigeerd |
Gemitigeerd |
Adobe Advertising Cloud | Gemitigeerd | Gemitigeerd |
Adobe Audience Manager |
Gemitigeerd |
Gemitigeerd |
Adobe Campaign Classic (gehost, hybride, on premise) |
N.v.t. |
N.v.t. |
Adobe Campaign Standard | Gemitigeerd |
Gemitigeerd |
Adobe Journey Optimizer |
N.v.t. | N.v.t. |
Adobe Experience Manager as a Cloud Service |
Gemitigeerd | Gemitigeerd |
Adobe Experience Manager as a Managed Service | N.v.t. |
N.v.t. |
Adobe Experience Manager (on premise, v6.3 - v6.5) |
N.v.t. | N.v.t. |
Adobe Experience Manager Forms | Gemitigeerd |
Gemitigeerd |
Adobe Experience Manager Dynamic Media (Scene7) as a Cloud Service | Gemitigeerd | Gemitigeerd |
Adobe Experience Manager Dynamic Media (Scene7) as a Managed Service |
Gemitigeerd | Gemitigeerd |
Adobe Experience Manager Screens | N.v.t. |
N.v.t. |
Adobe Experience Manager Assets Brand Portal |
N.v.t. |
N.v.t. |
Adobe Experience Platform Core |
Gemitigeerd |
Gemitigeerd |
Adobe Experience Platform Data Foundation | Gemitigeerd |
Gemitigeerd |
Adobe Experience Platform Data Science Workspace |
Gemitigeerd |
Gemitigeerd |
Adobe Experience Platform Journey Orchestration | N.v.t. |
N.v.t. |
Adobe Experience Platform Offer Decisioning Service | N.v.t. | N.v.t. |
Adobe Experience Platform Query Service |
Gemitigeerd |
Gemitigeerd |
Adobe Experience Platform Activation | Gemitigeerd |
Gemitigeerd |
Adobe Experience Platform Tags (DTM/Lancering) |
Gemitigeerd |
Gemitigeerd |
Adobe Real-time Customer Data Platform (CDP) | Gemitigeerd |
Gemitigeerd |
Adobe Marketo Engage |
Gemitigeerd |
Gemitigeerd |
Adobe Bizible | N.v.t. |
N.v.t. |
Adobe Target |
Gemitigeerd | Gemitigeerd |
Adobe Workfront | Gemitigeerd |
Gemitigeerd |
Overige producten |
||
Adobe Captivate Prime | N.v.t. |
N.v.t. |
Adobe Update Server Setup Tool (AUSST) | N.v.t. | N.v.t. |
Adobe Remote Update Manager (RUM) | N.v.t. | N.v.t. |
Adobe Connect (gehost, Managed Services) | Gemitigeerd | Gemitigeerd |
Adobe Connect (on premise) | Gemitigeerd |
Gemitigeerd |
Adobe ColdFusion |
Gemitigeerd |
Gemitigeerd |
Adobe Photoshop Elements | N.v.t. | N.v.t. |
Adobe Premiere Elements | N.v.t. | N.v.t. |
Adobe Primetime | Gemitigeerd | Gemitigeerd |
Adobe RoboHelp (client/server) | N.v.t. |
N.v.t. |
Adobe Licenties met beperkte functies (FRL) LAN-server |
N.v.t. |
N.v.t. |
Wij werken actief samen met onze externe leveranciers om ervoor te zorgen dat zij de nodige maatregelen hebben genomen.
Mocht u nog vragen hebben, neemt u dan contact op met uw Customer Success Manager (CSM), Technical Account Manager (TAM) of de Adobe Klantenservice.
Revisies:
20 december 2021: Photoshop Elements en Premiere Elements toegevoegd als 'N.v.t.'; Adobe Experience Manager (on premise, v6.3 - v6.5) gecorrigeerd in 'N.v.t.'.
21 december 2021: Adobe Advertising Cloud toegevoegd als 'Gemitigeerd'; Adobe Experience Manager Dynamic Media (Scene 7) as a Managed Service toegevoegd als 'Gemitigeerd'; Adobe Experience Platform Offer Decisioning Service toegevoegd als 'N.v.t.'; Adobe Fonts (Typekit) toegevoegd als 'Gemitigeerd'.
5 januari 2022: Informatie toegevoegd voor CVE-2021-45046; Adobe Portfolio gecorrigeerd in 'N.v.t.'.
11 januari 2022: Adobe Remote Update Manager (RUM) toegevoegd als 'N.v.t.'; Adobe Update Server Setup Tool (AUSST) toegevoegd als 'N.v.t.'; Opmerking over onderzoeksstatus bijgewerkt.
2 februari 2022: Adobe UXP Developer Tool toegevoegd als 'N/A'
1 juli 2022: Creative Cloud Express hernoemd naar Adobe Express en Adobe Spark verwijderd als duplicaat