Apache Log4j kwetsbaarheden bij diverse fabrikanten (Lijst word aangevuld)

9 December is bekend geworden dat in de veelgebruikte Log4J 2-tool, gebruikt voor het loggen van Java-applicaties, een ernstige kwetsbaarheid is aangetroffen. 


Deze kwetsbaarheid in de Apache Log4j, met de naam CVE-2021-44228, kan invloed hebben op een aantal producten in ons portfolio.


Daarom hebben wij bij onze fabrikanten de vraag neergelegd welke producten gebruik maken van de Apache Log4j logtool, zie hieronder:



Fortinet:


zie:  https://www.fortiguard.com/psirt/FG-IR-21-245?utm_source=blog&utm_campaign=blog 


Draytek:


DrayTek (VigorACS)  maakt geen gebruik van de Apache Log4j Java-based logging utility. 



Ubiquiti: 


https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1


  • Fix a security vulnerability found in a 3rd party library (CVE-2021-44228).



Portadial:


Portadial maakt geen gebruik van de Apache Log4j Java-based logging utility. 


Netgear:


NETGEAR maakt geen gebruik van de Apache Log4j Java-based logging utility. 



Yealink:


NIET van toepassing voor:

IP Phones, Microsoft | Zoom Devices, Headsets | Webcams

Klik hier voor meer informatie.


WEL van toepassing voor:

YMCS/YDMP/RPS hebben een update gehad om de situatie op te

lossen.

Klik hier voor meer informatie. 


Aan de hand van nieuwe onderzoeken door Apache heeft Yealink

nog een patch uitgebracht voor YDMP om log4j versie 2.16 te

updaten naar 2.17.

Klik hier voor de patch van Yealink, en hier voor de informatie van

Apache.



Mikrotik: 


Mikrotik maakt geen gebruik van de Apache Log4j Java-based logging utility.


2N


2N maakt geen gebruik van de Apache Log4j Java-based logging utility. 


Grandstream:


Grandstream maakt geen gebruik van de Apache Log4j Java-based logging utility.




TP-Link: 


TP-Link is aware of the vulnerability in Apache Log4j used in Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints). 


 


Affected Products/Services:


 


Omada Cloud Services


Omada Controller (Windows)


Omada Controller (Linux)


OC200


OC300



zie oplossing:  https://community.tp-link.com/en/business/forum/topic/514452?page   


GigasetPRO:


Gigaset Pro maakt geen gebruik van de Apache Log4j Java-based logging utility.


Yeastar:


Yeastar maakt geen gebruik van de Apache Log4j Java-based logging utility. .




ALGO


Algo maakt geen gebruik van de Apache Log4j Java-based logging utility.