Vulnerabilități critice în biblioteca Java Apache Log4j
În data de 9 decembrie 2021, a fost raportată o problemă la nivel industrial în Apache log4j 2 (CVE-2021-44228) pe care adversarii o pot utiliza pentru a realiza execuția codului de la distanță (RCE). Aceasta poate duce la accesul neautorizat la sistemele gazdă. O versiune actualizată (v2.15.0) care tratează această problemă a fost pusă la dispoziție de Apache Software Foundation.
În data de 14 decembrie 2021, a fost raportată o problemă în Apache log4j 2 v2.15.0 (CVE-2021-45046), din cauza căreia, anumite configurații neimplicite care utilizează caracteristici JNDI, ar putea fi susceptibile și la exploatarea din partea adversarilor, astfel încât să realizeze execuția codului de la distanță (RCE). Sistemele gazdă care au aplicat versiunea v2.15.0 pot fi, de asemenea, susceptibile la atacuri de tip „refuzul serviciilor” (atacuri DoS). Apache Software Foundation a lansat versiunea (v2.16.0) pentru a remedia această problemă specifică.
Pe măsură ce sunt lansate noi corecții Apache, vom continua să le evaluăm și să le aplicăm, după cum se aplică produselor Adobe.
Am analizat potențialul impact și urmăm îndrumările recomandate de Apache Software Foundation Investigația noastră s-a încheiat, iar Adobe nu a descoperit niciun indiciu că datele clienților ar fi fost afectate.
Pentru tabelul de mai jos:
„Atenuat” înseamnă că produsul/serviciul a tratat cu succes problema legată de CVE.
„Neaplicabil” înseamnă că produsul/serviciul nu utilizează biblioteca vulnerabilă Apache log4j 2.
Produs |
CVE-2021-44228 |
CVE-2021-45046 |
Servicii esențiale |
||
Adobe I/O |
Neaplicabil |
Neaplicabil |
Serviciile Adobe pentru gestionarea identității (Adobe ID) |
Atenuat |
Atenuat |
Gestionarea contului Adobe | Neaplicabil |
Neaplicabil |
Instrumentul de sincronizare a utilizatorilor Adobe |
Neaplicabil |
Neaplicabil |
Adobe Admin Console |
Neaplicabil | Neaplicabil |
Adobe Creative Cloud |
||
Servicii Adobe Creative Cloud (biblioteci, colaborare, stocare, sincronizare, notificări, UI web) |
Atenuat |
Atenuat |
Aplicații pentru desktop/mobile Adobe Creative Cloud |
Neaplicabil |
Neaplicabil |
SDK-uri mobile Adobe Creative Cloud | Neaplicabil |
Neaplicabil |
Adobe Express |
Neaplicabil |
Neaplicabil |
Adobe Capture |
Neaplicabil |
Neaplicabil |
Adobe Color |
Neaplicabil |
Neaplicabil |
Adobe Fonts (TypeKit) | Atenuat | Atenuat |
Adobe Behance |
Atenuat |
Atenuat |
Frame.io de la Adobe |
Neaplicabil |
Neaplicabil |
Adobe Portfolio |
Neaplicabil |
Neaplicabil |
Instrumentul de dezvoltare Adobe UXP | Neaplicabil | Neaplicabil |
Adobe Bridge |
Neaplicabil |
Neaplicabil |
Adobe Media Encoder |
Neaplicabil |
Neaplicabil |
Adobe Dreamweaver |
Neaplicabil |
Neaplicabil |
Adobe Dimension |
Neaplicabil |
Neaplicabil |
Adobe InDesign |
Neaplicabil |
Neaplicabil |
Adobe InDesign Server |
Neaplicabil |
Neaplicabil |
Adobe InCopy |
Neaplicabil |
Neaplicabil |
Adobe Illustrator |
Neaplicabil |
Neaplicabil |
Adobe Photoshop |
Neaplicabil |
Neaplicabil |
Adobe Premiere Pro |
Neaplicabil |
Neaplicabil |
Adobe After Effects |
Neaplicabil |
Neaplicabil |
Adobe Prelude |
Neaplicabil |
Neaplicabil |
Adobe Premiere Rush |
Neaplicabil |
Neaplicabil |
Adobe Substance Source | Neaplicabil |
Neaplicabil |
Adobe Substance Painter |
Neaplicabil |
Neaplicabil |
Adobe Substance Designer | Neaplicabil |
Neaplicabil |
Adobe Substance Alchemist |
Neaplicabil |
Neaplicabil |
Adobe Aero (aplicații și servicii) | Atenuat |
Atenuat |
Adobe Animate |
Neaplicabil |
Neaplicabil |
Adobe Audition | Neaplicabil |
Neaplicabil |
Adobe Character Animator |
Neaplicabil |
Neaplicabil |
Adobe XD | Neaplicabil |
Neaplicabil |
Adobe Lightroom (Classic și CC) |
Neaplicabil |
Neaplicabil |
Adobe Fresco | Neaplicabil |
Neaplicabil |
Mixamo de la Adobe |
Atenuat |
Atenuat |
Adobe FrameMaker | Neaplicabil |
Neaplicabil |
Adobe Stock |
Atenuat |
Atenuat |
Adobe Document Cloud | ||
Servicii Adobe Document/PDF (inclusiv API-uri) |
Atenuat |
Atenuat |
Adobe Sign |
Atenuat |
Atenuat |
Adobe Acrobat DC | Neaplicabil |
Neaplicabil |
Adobe Experience Cloud |
||
Adobe Analytics |
Atenuat |
Atenuat |
Adobe Analytics Data Workbench | Neaplicabil | Neaplicabil |
Adobe Commerce (Magento) |
Atenuat |
Atenuat |
Adobe Customer Journey Analytics | Atenuat |
Atenuat |
Adobe Advertising Cloud | Atenuat | Atenuat |
Adobe Audience Manager |
Atenuat |
Atenuat |
Adobe Campaign Classic (găzduit, hibrid, on premise) |
Neaplicabil |
Neaplicabil |
Adobe Campaign Standard | Atenuat |
Atenuat |
Adobe Journey Optimizer |
Neaplicabil | Neaplicabil |
Adobe Experience Manager as a Cloud Service |
Atenuat | Atenuat |
Adobe Experience Manager ca serviciu gestionat | Neaplicabil |
Neaplicabil |
Adobe Experience Manager (on premise, v6.3 - v6.5) |
Neaplicabil | Neaplicabil |
Adobe Experience Manager Forms | Atenuat |
Atenuat |
Adobe Experience Manager Dynamic Media (Scene7) as a Cloud Service | Atenuat | Atenuat |
Adobe Experience Manager Dynamic Media (Scene7) ca serviciu gestionat |
Atenuat | Atenuat |
Adobe Experience Manager Screens | Neaplicabil |
Neaplicabil |
Adobe Experience Manager Assets Brand Portal |
Neaplicabil |
Neaplicabil |
Adobe Experience Platform Core |
Atenuat |
Atenuat |
Adobe Experience Platform Data Foundation | Atenuat |
Atenuat |
Adobe Experience Platform Data Science Workspace |
Atenuat |
Atenuat |
Adobe Experience Platform Journey Orchestration | Neaplicabil |
Neaplicabil |
Adobe Experience Platform Offer Decisioning Service | Neaplicabil | Neaplicabil |
Adobe Experience Platform Query Service |
Atenuat |
Atenuat |
Activare Adobe Experience Platform | Atenuat |
Atenuat |
Adobe Experience Platform Tags (DTM/Launch) |
Atenuat |
Atenuat |
Adobe Real-time Customer Data Platform (CDP) | Atenuat |
Atenuat |
Adobe Marketo Engage |
Atenuat |
Atenuat |
Adobe Bizible | Neaplicabil |
Neaplicabil |
Adobe Target |
Atenuat | Atenuat |
Adobe Workfront | Atenuat |
Atenuat |
Alte produse |
||
Adobe Captivate Prime | Neaplicabil |
Neaplicabil |
Adobe Update Server Setup Tool (AUSST) | Neaplicabil | Neaplicabil |
Adobe Remote Update Manager (RUM) | Neaplicabil | Neaplicabil |
Adobe Connect (găzduit, servicii gestionate) | Atenuat | Atenuat |
Adobe Connect (on premise) | Atenuat |
Atenuat |
Adobe ColdFusion |
Atenuat |
Atenuat |
Adobe Photoshop Elements | Neaplicabil | Neaplicabil |
Adobe Premiere Elements | Neaplicabil | Neaplicabil |
Adobe Primetime | Atenuat | Atenuat |
Adobe RoboHelp (client/server) | Neaplicabil |
Neaplicabil |
Server LAN Adobe Feature Restricted Licensing (FRL) |
Neaplicabil |
Neaplicabil |
Lucrăm în mod activ cu furnizorii terță parte pentru a ajuta să asigurăm că aceștia au instituit atenuări.
Dacă aveți întrebări suplimentare, vă rugăm să contactați managerul dedicat pentru relații clienți (CSM), managerul de conturi tehnice (TAM) sau Centrul de Asistență Clienți Adobe.
Revizii:
20 decembrie 2021: a fost adăugat Photoshop Elements și Premiere Elements ca „Neaplicabil”; a fost corectat Adobe Experience Manager (on premise, v6.3 - v6.5) la „Neaplicabil”.
21 decembrie 2021: a fost adăugat Adobe Advertising Cloud ca „Atenuat”; a fost adăugat Adobe Experience Manager Dynamic Media (Scene 7) ca serviciu gestionat ca „Atenuat”; a fost adăugat Adobe Experience Platform Offer Decisioning Service ca „Neaplicabil”; a fost adăugat Adobe Fonts (TypeKit) ca „Atenuat”.
5 ianuarie 2022: au fost adăugate informații pentru CVE-2021-45046; a fost corectat Adobe Portfolio la „Neaplicabil”.
11 ianuarie 2022: a fost adăugat Adobe Remote Update Manager (RUM) ca „Neaplicabil”; a fost adăugat Adobe Update Server Setup Tool (AUSST) ca „Neaplicabil”; a fost actualizată nota referitoare la starea investigației.
2 februarie 2022: Adăugat Adobe UXP Developer Tool ca „N/A”.
1 iulie 2022: S-a redenumit Creative Cloud Express în Adobe Express și s-a eliminat Adobe Spark ca duplicat