Apache Log4j kwetsbaarheden bij diverse fabrikanten (Lijst word aangevuld)
Thijs ten Hagen
is een onderwerp begonnen
bijna 2 jaar geleden
9 December is bekend geworden dat in de veelgebruikte Log4J 2-tool, gebruikt voor het loggen van Java-applicaties, een ernstige kwetsbaarheid is aangetroffen.
Deze kwetsbaarheid in de Apache Log4j, met de naam CVE-2021-44228, kan invloed hebben op een aantal producten in ons portfolio.
Daarom hebben wij bij onze fabrikanten de vraag neergelegd welke producten gebruik maken van de Apache Log4j logtool, zie hieronder:
Aan de hand van nieuwe onderzoeken door Apache heeft Yealink
nog een patch uitgebracht voor YDMP om log4j versie 2.16 te
updaten naar 2.17.
Klik hier voor de patch van Yealink, en hier voor de informatie van
Apache.
Mikrotik:
Mikrotik maakt geen gebruik van de Apache Log4j Java-based logging utility.
2N
2N maakt geen gebruik van de Apache Log4j Java-based logging utility.
Grandstream:
Grandstream maakt geen gebruik van de Apache Log4j Java-based logging utility.
TP-Link:
TP-Link is aware of the vulnerability in Apache Log4j used in Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints).
Thijs ten Hagen
9 December is bekend geworden dat in de veelgebruikte Log4J 2-tool, gebruikt voor het loggen van Java-applicaties, een ernstige kwetsbaarheid is aangetroffen.
Deze kwetsbaarheid in de Apache Log4j, met de naam CVE-2021-44228, kan invloed hebben op een aantal producten in ons portfolio.
Daarom hebben wij bij onze fabrikanten de vraag neergelegd welke producten gebruik maken van de Apache Log4j logtool, zie hieronder:
Fortinet:
zie: https://www.fortiguard.com/psirt/FG-IR-21-245?utm_source=blog&utm_campaign=blog
Draytek:
DrayTek (VigorACS) maakt geen gebruik van de Apache Log4j Java-based logging utility.
Ubiquiti:
https://community.ui.com/releases/UniFi-Network-Application-6-5-54/d717f241-48bb-4979-8b10-99db36ddabe1
Portadial:
Portadial maakt geen gebruik van de Apache Log4j Java-based logging utility.
Netgear:
NETGEAR maakt geen gebruik van de Apache Log4j Java-based logging utility.
Yealink:
NIET van toepassing voor:
IP Phones, Microsoft | Zoom Devices, Headsets | Webcams
Klik hier voor meer informatie.
WEL van toepassing voor:
YMCS/YDMP/RPS hebben een update gehad om de situatie op te
lossen.
Klik hier voor meer informatie.
Aan de hand van nieuwe onderzoeken door Apache heeft Yealink
nog een patch uitgebracht voor YDMP om log4j versie 2.16 te
updaten naar 2.17.
Klik hier voor de patch van Yealink, en hier voor de informatie van
Apache.
Mikrotik:
Mikrotik maakt geen gebruik van de Apache Log4j Java-based logging utility.
2N
2N maakt geen gebruik van de Apache Log4j Java-based logging utility.
Grandstream:
Grandstream maakt geen gebruik van de Apache Log4j Java-based logging utility.
TP-Link:
TP-Link is aware of the vulnerability in Apache Log4j used in Omada Controller (CVE-2021-44228: Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker controlled LDAP and other JNDI related endpoints).
Affected Products/Services:
Omada Cloud Services
Omada Controller (Windows)
Omada Controller (Linux)
OC200
OC300
zie oplossing: https://community.tp-link.com/en/business/forum/topic/514452?page
GigasetPRO:
Gigaset Pro maakt geen gebruik van de Apache Log4j Java-based logging utility.
Yeastar:
Yeastar maakt geen gebruik van de Apache Log4j Java-based logging utility. .
ALGO
Algo maakt geen gebruik van de Apache Log4j Java-based logging utility.