Declaración sobre la vulnerabilidad de Apache Log4j

Aviso de seguridad
Actualizado04-26-2024 09:41:36 AM Number of views for this article246517

TP-Link es consciente de las siguientes vulnerabilidades en Apache Log4j2:

  • CVE-2021-44228: Las características JNDI de Apache Log4j2 <=2.14.1 utilizadas en la configuración, mensajes de registro y parámetros no protegen contra puntos finales LDAP y JNDI controlados por el atacante.
  • CVE-2021-45046: Se descubrió que la corrección para abordar CVE-2021-44228 en Apache Log4j2 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas.
  • CVE-2021-45105: Las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 (excluyendo 2.12.3) no protegían contra la recursión no controlada de búsquedas auto-referenciales.

En TP-Link, la seguridad del cliente es lo primero. TP-Link está investigando y seguirá actualizando este aviso a medida que haya más información disponible.

Productos TP-Link no afectados:

Todos los routers Wi-Fi

Todos los Wi-Fi Mesh (Deco)

Todos los extensores de rango

Todos los adaptadores Powerline

Todos los productos de Wi-Fi móvil

Todos los routers SMB, conmutadores, Omada EAP y Pharos CPE

Todos los productos VIGI

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Productos/Servicios afectados:

Controladores Omada

El Controlador de Software Omada y el Controlador de Hardware Omada (OC200, OC300) están afectados por las vulnerabilidades CVE-2021-44228 y CVE-2021-45046, y no están afectados por CVE-2021-45105.

Hemos lanzado actualizaciones oficiales a continuación para actualizar el Log4j2 incorporado a la versión 2.16 y actualizaremos a la versión 2.17 en una actualización posterior. ¡Recomendamos que actualices lo antes posible!

Para Windows: Omada_Controller_V5.0.29_Windows  

Para Linux (tar): Omada_Controller_V4.4.8_Linux_x64.tar  

Para Linux (deb): Omada_Controller_V4.4.8_Linux_x64.deb  

Para OC200: OC200(UN)_V1_1.14.2 Build 20211215 

Para OC300: OC300(UN)_V1_1.7.0 Build 20211215  

TP-Link Cloud:

Hemos actualizado la versión de Log4j2 para corregir las vulnerabilidades en el Controlador Basado en la Nube Omada, el servicio de Acceso a la Nube y otros servicios en la nube afectados por la vulnerabilidad.

Deco4ISP

Las versiones anteriores a 1.5.82 están afectadas, actualiza a la versión 1.5.82.

Descargo de responsabilidad

Las vulnerabilidades de Apache Log4j2 permanecerán si no tomas todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones de esta declaración.

Preguntas Frecuentes Relacionadas

Buscar Más

¿Es útil este artículo?

Tus comentarios nos ayudan a mejorar esta web.