Krytyczne luki w zabezpieczeniach biblioteki Apache Log4j Java
9 grudnia 2021 r. zgłoszono lukę w zabezpieczeniach biblioteki Apache log4j 2 (CVE-2021-44228) dotyczącą całej branży. Atakujący mogą ją wykorzystać do zdalnego uruchamiania kodu. Może to pozwalać na nieautoryzowany dostęp do systemów hosta. Firma Apache Software Foundation udostępniła uaktualnioną wersję (v2.15.0), która rozwiązuje ten problem.
14 grudnia 2021 r. zgłoszono problem dotyczący biblioteki Apache log4j 2 v2.15.0 (CVE-2021-45046), w wyniku którego atakujący mogą wykorzystać także pewne niedomyślne konfiguracje używające funkcji JNDI do zdalnego uruchamiania kodu (RCE). Systemy hostów, które stosowały wersję v2.15.0 mogą być również narażone na ataki typu odmowa usługi (ataki DoS). Organizacja Apache Software Foundation wydała wersję (v2.16.0), która rozwiązuje ten konkretny problem.
Nowe poprawki do oprogramowania Apache będą na bieżąco oceniane i w razie konieczności stosowane do produktów Adobe.
Zapoznaliśmy się z potencjalnymi skutkami błędu i postępujemy zgodnie z zaleceniami firmy Apache Software Foundation. Nasze badanie zostało zakończone, a firma Adobe nie znalazła żadnych przesłanek wskazujących na naruszenie bezpieczeństwa danych swoich klientów.
W poniższej tabeli:
„Wyeliminowano” oznacza, że w produkcie/usłudze pomyślnie naprawiono problem CVE.
„N/A (nie dotyczy)” oznacza, że produkt/usługa nie korzysta z zagrożonej biblioteki Apache log4j 2.
| Produkt |
CVE-2021-44228 |
CVE-2021-45046 |
| Usługi podstawowe |
||
| Adobe I/O |
Nie dotyczy |
Nie dotyczy |
| Usługi Adobe Identity Management (Adobe ID) |
Wyeliminowano |
Wyeliminowano |
| Zarządzanie kontem Adobe | Nie dotyczy |
Nie dotyczy |
| Narzędzie Adobe User Sync Tool |
Nie dotyczy |
Nie dotyczy |
| Adobe Admin Console |
Nie dotyczy | Nie dotyczy |
| Adobe Creative Cloud |
||
| Usługi Adobe Creative Cloud (biblioteki, współpraca, przestrzeń dyskowa, synchronizacja, powiadomienia, interfejs internetowy) |
Wyeliminowano |
Wyeliminowano |
| Aplikacje mobilne/komputerowe Adobe Creative Cloud |
Nie dotyczy |
Nie dotyczy |
| Pakiety SDK dla urządzeń przenośnych Adobe Creative Cloud | Nie dotyczy |
Nie dotyczy |
| Adobe Express |
Nie dotyczy |
Nie dotyczy |
| Adobe Capture |
Nie dotyczy |
Nie dotyczy |
| Adobe Color |
Nie dotyczy |
Nie dotyczy |
| Adobe Fonts (TypeKit) | Wyeliminowano | Wyeliminowano |
| Adobe Behance |
Wyeliminowano |
Wyeliminowano |
| Frame.io by Adobe |
Nie dotyczy |
Nie dotyczy |
| Adobe Portfolio |
Nie dotyczy |
Nie dotyczy |
| Narzędzie dla programistów Adobe UXP | Nie dotyczy | Nie dotyczy |
| Adobe Bridge |
Nie dotyczy |
Nie dotyczy |
| Adobe Media Encoder |
Nie dotyczy |
Nie dotyczy |
| Adobe Dreamweaver |
Nie dotyczy |
Nie dotyczy |
| Adobe Dimension |
Nie dotyczy |
Nie dotyczy |
| Adobe InDesign |
Nie dotyczy |
Nie dotyczy |
| Adobe InDesign Server |
Nie dotyczy |
Nie dotyczy |
| Adobe InCopy |
Nie dotyczy |
Nie dotyczy |
| Adobe Illustrator |
Nie dotyczy |
Nie dotyczy |
| Adobe Photoshop |
Nie dotyczy |
Nie dotyczy |
| Adobe Premiere Pro |
Nie dotyczy |
Nie dotyczy |
| Adobe After Effects |
Nie dotyczy |
Nie dotyczy |
| Adobe Prelude |
Nie dotyczy |
Nie dotyczy |
| Adobe Premiere Rush |
Nie dotyczy |
Nie dotyczy |
| Adobe Substance Source | Nie dotyczy |
Nie dotyczy |
| Adobe Substance Painter |
Nie dotyczy |
Nie dotyczy |
| Adobe Substance Designer | Nie dotyczy |
Nie dotyczy |
| Adobe Substance Alchemist |
Nie dotyczy |
Nie dotyczy |
| Adobe Aero (aplikacje i usługi) | Wyeliminowano |
Wyeliminowano |
| Adobe Animate |
Nie dotyczy |
Nie dotyczy |
| Adobe Audition | Nie dotyczy |
Nie dotyczy |
| Adobe Character Animator |
Nie dotyczy |
Nie dotyczy |
| Adobe XD | Nie dotyczy |
Nie dotyczy |
| Adobe Lightroom (Classic i CC) |
Nie dotyczy |
Nie dotyczy |
| Adobe Fresco | Nie dotyczy |
Nie dotyczy |
| Mixamo by Adobe |
Wyeliminowano |
Wyeliminowano |
| Adobe FrameMaker | Nie dotyczy |
Nie dotyczy |
| Adobe Stock |
Wyeliminowano |
Wyeliminowano |
| Adobe Document Cloud | ||
| Usługi Adobe Document/PDF (w tym interfejsy API) |
Wyeliminowano |
Wyeliminowano |
Adobe Sign |
Wyeliminowano |
Wyeliminowano |
| Adobe Acrobat DC | Nie dotyczy |
Nie dotyczy |
| Adobe Experience Cloud |
||
| Adobe Analytics |
Wyeliminowano |
Wyeliminowano |
| Adobe Analytics: Data Workbench | Nie dotyczy | Nie dotyczy |
| Adobe Commerce (Magento) |
Wyeliminowano |
Wyeliminowano |
| Adobe Customer Journey Analytics | Wyeliminowano |
Wyeliminowano |
| Adobe Advertising Cloud | Wyeliminowano | Wyeliminowano |
| Adobe Audience Manager |
Wyeliminowano |
Wyeliminowano |
| Adobe Campaign Classic (hostowane, hybrydowe, lokalne) |
Nie dotyczy |
Nie dotyczy |
| Adobe Campaign Standard | Wyeliminowano |
Wyeliminowano |
| Adobe Journey Optimizer |
Nie dotyczy | Nie dotyczy |
| Adobe Experience Manager as a Cloud Service |
Wyeliminowano | Wyeliminowano |
| Adobe Experience Manager as a Managed Service | Nie dotyczy |
Nie dotyczy |
| Adobe Experience Manager (lokalnie, v6.3 - v6.5) |
Nie dotyczy | Nie dotyczy |
| Adobe Experience Manager Forms | Wyeliminowano |
Wyeliminowano |
| Adobe Experience Manager Dynamic Media (Scene7) as a Cloud Service | Wyeliminowano | Wyeliminowano |
| Adobe Experience Manager Dynamic Media (Scene7) as a Managed Service |
Wyeliminowano | Wyeliminowano |
| Adobe Experience Manager Screens | Nie dotyczy |
Nie dotyczy |
| Adobe Experience Manager Assets Brand Portal |
Nie dotyczy |
Nie dotyczy |
| Adobe Experience Platform Core |
Wyeliminowano |
Wyeliminowano |
| Adobe Experience Platform Data Foundation | Wyeliminowano |
Wyeliminowano |
| Adobe Experience Platform Data Science Workspace |
Wyeliminowano |
Wyeliminowano |
| Adobe Experience Platform Journey Orchestration | Nie dotyczy |
Nie dotyczy |
| Adobe Experience Platform Offer Decisioning Service | Nie dotyczy | Nie dotyczy |
| Adobe Experience Platform Query Service |
Wyeliminowano |
Wyeliminowano |
| Adobe Experience Platform Activation | Wyeliminowano |
Wyeliminowano |
| Adobe Experience Platform Tags (DTM/Launch) |
Wyeliminowano |
Wyeliminowano |
| Adobe Real-time Customer Data Platform (CDP) | Wyeliminowano |
Wyeliminowano |
| Adobe Marketo Engage |
Wyeliminowano |
Wyeliminowano |
| Adobe Bizible | Nie dotyczy |
Nie dotyczy |
| Adobe Target |
Wyeliminowano | Wyeliminowano |
| Adobe Workfront | Wyeliminowano |
Wyeliminowano |
| Inne produkty |
||
| Adobe Captivate Prime | Nie dotyczy |
Nie dotyczy |
| Adobe Update Server Setup Tool (AUSST) | Nie dotyczy | Nie dotyczy |
| Adobe Remote Update Manager (RUM) | Nie dotyczy | Nie dotyczy |
| Adobe Connect (hostowane, Managed Services) | Wyeliminowano | Wyeliminowano |
| Adobe Connect (lokalnie) | Wyeliminowano |
Wyeliminowano |
| Adobe ColdFusion |
Wyeliminowano |
Wyeliminowano |
| Adobe Photoshop Elements | Nie dotyczy | Nie dotyczy |
| Adobe Premiere Elements | Nie dotyczy | Nie dotyczy |
| Adobe Primetime | Wyeliminowano | Wyeliminowano |
| Adobe RoboHelp (klient/serwer) | Nie dotyczy |
Nie dotyczy |
| Serwer LAN Adobe z ograniczoną licencją na usługi |
Nie dotyczy |
Nie dotyczy |
Aktywnie współpracujemy z dostawcami zewnętrznymi, aby upewnić się, że problemy zostały wyeliminowane.
W razie dodatkowych pytań prosimy o kontakt z kierownikiem ds. współpracy z klientami (CSM), menedżerem technicznym kont (TAM) lub Obsługą klienta Adobe.
Wersje:
20 grudnia 2021 r.: programy Photoshop Elements i Premiere Elements dodano w kategorii „Nie dotyczy”; poprawiono Adobe Experience Manager (lokalnie, v6.3 - v6.5) na kategorię „Nie dotyczy”.
21 grudnia 2021 r.: usługę Adobe Advertising Cloud dodano w kategorii „Wyeliminowano”; dodano usługę zarządzaną Adobe Experience Manager Dynamic Media (Scene 7) w kategorii „Wyeliminowano”; dodano usługę Adobe Experience Platform Offer Decisioning Service w kategorii „Nie dotyczy”; dodano usługę Adobe Fonts (Typekit) w kategorii „Wyeliminowano”.
5 stycznia 2022 r.: dodano informacje dla CVE-2021-45046; poprawiono Adobe Portfolio na kategorię „Nie dotyczy”.
11 stycznia 2022 r.: dodano usługę Adobe Remote Update Manager (RUM) w kategorii „Nie dotyczy”; dodano narzędzie Adobe Update Server Setup Tool (AUSST) w kategorii „Nie dotyczy”; zaktualizowano notatkę dotyczącą stanu badania.
2 lutego 2022 r.: Dodano Narzędzie dla programistów Adobe UXP jako „N/A”
1 lipca 2022: zmiana nazwy programu Creative Cloud Express na Adobe Express i usunięcie programu Adobe Spark jako duplikatu
