Vulnerabilidades críticas na biblioteca Java Apache Log4j
Em 9 de dezembro de 2021, foi relatado um problema no Apache log4j 2 (CVE-2021-44228) que afetou todo o setor e poderia ser usado por adversários para alcançar uma execução por código remoto (RCE). Isto pode levar a um acesso não autorizado aos sistemas host. Uma versão atualizada (v2.15.0) que processa esta questão foi disponibilizada pela Apache Software Foundation.
Em 14 de dezembro de 2021, foi relatado um problema no Apache log4j 2 v2.15.0 (CVE-2021-45046) que pode fazer certas configurações não-definidas usando características JNDI também suscetíveis à exploração por adversários para alcançar a Remote Code Execution (RCE). Sistemas host que aplicaram a v2.15.0 também podem ser suscetíveis à negação de serviço (ataques DoS). A Apache Software Foundation lançou uma versão (v2.16.0) para remediar esta questão específica.
Conforme os patches Apache adicionais forem lançados, continuaremos a avaliá-los e aplicá-los conforme aplicável aos produtos Adobe.
Analisamos o impacto potencial e estamos seguindo as orientações recomendadas pela Apache Software Foundation. Nossa investigação concluiu e a Adobe não descobriu qualquer indicação de que os dados dos clientes tenham sido impactados
Para o quadro seguinte:
“Atenuado” significa que o CVE foi processado com sucesso pelo produto/serviço.
“N/A (não aplicável)” significa que o produto/serviço não utiliza a biblioteca vulnerável Apache log4j 2.
Produto |
CVE-2021-44228 |
CVE-2021-45046 |
Serviços principais |
||
Adobe I/O |
N/A |
N/A |
Adobe Identity Management Services (Adobe ID) |
Atenuado |
Atenuado |
Adobe Account Management | N/A |
N/A |
Ferramenta de sincronização de usuário Adobe |
N/A |
N/A |
Console de administração da Adobe |
N/A | N/A |
Adobe Creative Cloud |
||
Adobe Creative Cloud Services (Bibliotecas, Colaboração, Armazenamento, Sync, Notificações, Web UI) |
Atenuado |
Atenuado |
Aplicativos para desktop/móveis da Adobe Creative Cloud |
N/A |
N/A |
SDKs do Adobe Creative Cloud móvel | N/A |
N/A |
Adobe Express |
N/A |
N/A |
Adobe Capture |
N/A |
N/A |
Adobe Color |
N/A |
N/A |
Adobe Fonts (TypeKit) | Atenuado | Atenuado |
Adobe Behance |
Atenuado |
Atenuado |
Frame.io por Adobe |
N/A |
N/A |
Adobe Portfolio |
N/A |
N/A |
Ferramenta de desenvolvedor Adobe UXP | N/A | N/A |
Adobe Bridge |
N/A |
N/A |
Adobe Media Encoder |
N/A |
N/A |
Adobe Dreamweaver |
N/A |
N/A |
Adobe Dimension |
N/A |
N/A |
Adobe InDesign |
N/A |
N/A |
Adobe InDesign Server |
N/A |
N/A |
Adobe InCopy |
N/A |
N/A |
Adobe Illustrator |
N/A |
N/A |
Adobe Photoshop |
N/A |
N/A |
Adobe Premiere Pro |
N/A |
N/A |
Adobe After Effects |
N/A |
N/A |
Adobe Prelude |
N/A |
N/A |
Adobe Premiere Rush |
N/A |
N/A |
Adobe Substance Source | N/A |
N/A |
Adobe Substance Painter |
N/A |
N/A |
Adobe Substance Designer | N/A |
N/A |
Adobe Substance Alchemist |
N/A |
N/A |
Adobe Aero (aplicativos e serviços) | Atenuado |
Atenuado |
Adobe Animate |
N/A |
N/A |
Adobe Audition | N/A |
N/A |
Adobe Character Animator |
N/A |
N/A |
Adobe XD | N/A |
N/A |
Adobe Lightroom (Classic e CC) |
N/A |
N/A |
Adobe Fresco | N/A |
N/A |
Mixamo da Adobe |
Atenuado |
Atenuado |
Adobe FrameMaker | N/A |
N/A |
Adobe Stock |
Atenuado |
Atenuado |
Adobe Document Cloud | ||
Serviços Adobe Document/PDF (incluindo APIs) |
Atenuado |
Atenuado |
Adobe Sign |
Atenuado |
Atenuado |
Adobe Acrobat DC | N/A |
N/A |
Adobe Experience Cloud |
||
Adobe Analytics |
Atenuado |
Atenuado |
Adobe Analytics Data Workbench | N/A | N/A |
Adobe Commerce (Magento) |
Atenuado |
Atenuado |
Adobe Customer Journey Analytics | Atenuado |
Atenuado |
Adobe Advertising Cloud | Atenuado | Atenuado |
Adobe Audience Manager |
Atenuado |
Atenuado |
Adobe Campaign Classic (hospedado, híbrido, na premissa) |
N/A |
N/A |
Adobe Campaign Standard | Atenuado |
Atenuado |
Adobe Journey Optimizer |
N/A | N/A |
Adobe Experience Manager as a Cloud Service |
Atenuado | Atenuado |
Adobe Experience Manager as a Managed Service | N/A |
N/A |
Adobe Experience Manager (no local, v6.3 a v6.5) |
N/A | N/A |
Adobe Experience Manager Forms | Atenuado |
Atenuado |
Adobe Experience Manager Dynamic Media (Scene7) as a Cloud Service | Atenuado | Atenuado |
Adobe Experience Manager Dynamic Media (Scene7) as a Managed Service |
Atenuado | Atenuado |
Adobe Experience Manager Screens | N/A |
N/A |
Adobe Experience Manager Assets Brand Portal |
N/A |
N/A |
Adobe Experience Platform Core |
Atenuado |
Atenuado |
Adobe Experience Platform Data Foundation | Atenuado |
Atenuado |
Adobe Experience Platform Data Science Workspace |
Atenuado |
Atenuado |
Adobe Experience Platform Journey Orchestration | N/A |
N/A |
Adobe Experience Platform serviço Offer Decisioning | N/A | N/A |
Adobe Experience Platform serviço de consulta |
Atenuado |
Atenuado |
Adobe Experience Platform Activation | Atenuado |
Atenuado |
Adobe Experience Platform Tags (DTM/Launch) |
Atenuado |
Atenuado |
Adobe Real-time Customer Data Platform (CDP) | Atenuado |
Atenuado |
Adobe Marketo Engage |
Atenuado |
Atenuado |
Adobe Bizible | N/A |
N/A |
Adobe Target |
Atenuado | Atenuado |
Adobe Workfront | Atenuado |
Atenuado |
Outros produtos |
||
Adobe Captivate Prime | N/A |
N/A |
Adobe Update Server Setup Tool (AUSST) | N/A | N/A |
Adobe Remote Update Manager (RUM) | N/A | N/A |
Adobe Connect (hospedado, Managed Services) | Atenuado | Atenuado |
Adobe Connect (local) | Atenuado |
Atenuado |
Adobe ColdFusion |
Atenuado |
Atenuado |
Adobe Photoshop Elements | N/A | N/A |
Adobe Premiere Elements | N/A | N/A |
Adobe Primetime | Atenuado | Atenuado |
Adobe RoboHelp (cliente/servidor) | N/A |
N/A |
Licença restrita de recursos Adobe (FRL) para servidor LAN |
N/A |
N/A |
Estamos trabalhando ativamente com nossos fornecedores terceirizados para ajudar a garantir que eles disponibilizem atenuantes
Se você tiver mais perguntas, entre em contato com seu gerente de sucesso de cliente (CSM), gerente de conta técnica (TAM) ou Atendimento ao Cliente Adobe.
Revisões:
20 de dezembro de 2021: Adicionado Photoshop Elements e Premiere Elements como “N/A”; Corrigido Adobe Experience Manager (no local, v6.3 a v6.5) para “N/A”.
21 de dezembro de 2021: Adicionado Adobe Advertising Cloud como “Atenuado”; Adicionado Adobe Experience Manager Dynamic Media (Cena 7) as a Managed Service como “Atenuado”; Adicionado “Adobe Experience Platform serviço Offer Decisioning” como “N/A”; Adicionado “Adobe Fonts (Typekit)” como “Atenuado”.
5 de janeiro de 2022: Informações adicionais para CVE-2021-45046; Corrigido Adobe Portfolio para "N/A".
11 de janeiro de 2022: Adicionado Adobe Remote Update Manager (RUM) como "N/A"; Adicionado Adobe Update Server Setup Tool (AUSST) como "N/A"; Nota atualizada sobre o status da investigação.
2 de fevereiro de 2022: Ferramenta de desenvolvedor Adobe UXP adicionada como “N/A”.
1 de julho de 2022: Creative Cloud Express foi renomeado como Adobe Express e Adobe Spark foi removido por ser duplicado