Equipo S-Cert de Hanwha Vision America 2021
15/12/2021, actualizado el 23/12/2021
Informe de vulnerabilidad de Log4j
DESCRIPCIÓN GENERAL
La vulnerabilidad de Log4j se publicó el 10 de diciembre de 2021 como CVE-2021-44228 (conocida como
Log4Shell).
CVE-2021-44228
La vulnerabilidad afecta a Apache 2.0-beta9 <= Log4j <= 2.14.1 Las características de JNDI utilizadas en
la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por atacantes
y otros puntos finales relacionados con JNDI. Un atacante que puede controlar los mensajes de registro o
los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando
la sustitución de búsqueda de mensajes está habilitada.
RESULTADOS
Los siguientes productos de Hanwha Vision America (cámara de red, NVR/DVR/grabadora pentabrida,
WAVE VMS, SSM VMS, etc.) NO utilizan ni integran Log4j. Por lo tanto, no hay ningún efecto
sobre nuestros productos y no es necesario tomar ninguna medida . (No Vulnerable)
Las cámaras OSSA basadas en Android (ONO-9081R, ONV-9081R) han sido confirmadas por
Azena (proveedor de SO) que el Sistema Operativo no está afectado por la vulnerabilidad Log4j.
(No vulnerable) (Actualizado el 23/12/2021)
Wisenet SKY Cloud VMS utiliza el software Log4j, que era vulnerable. La
fundación de software Apache lanzó un parche para corregir la vulnerabilidad el 11 de diciembre de
2021. El parche se ha implementado. No es necesario que el cliente o el distribuidor tomen medidas
. (No vulnerable, remediado)
Log4net se usa para SSM, pero la vulnerabilidad log4j no se ve afectada por Log4net.
El Proyecto de servicios de registro de Apache crea y mantiene
marcos de registro de código abierto para uso público. Estos servicios se enumeran a continuación:
• Apache Log4j: marco de registro para Java, JSP. (Vulnerable)
• Apache Log4php: Framework de registro para PHP. (No Vulnerable)
• Apache Log4net: Framework de registro para Microsoft .NET. (No
vulnerable)
• Apache Log4cxx: marco de registro para C++. (No vulnerable)
* Si tiene más preguntas sobre esta vulnerabilidad, comuníquese con
el equipo de Hanwha Vision S-CERT ( secure.cctv@hanwha.com )