Apache Log4j 취약점에 대한 설명

보안 자문
수정일02-04-2022 01:52:21 AM 85878

TP-Link는 Apache Log4j2의 취약점에 대해 인식하고 있습니다:

  • CVE-2021-44228: Apache Log4j2 <=구성, 로그 메시지 및 매개변수에 사용된 2.14.1 JNDI 기능은 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터      보호되지 않습니다.
  • CVE-2021-45046: Apache Log4j2 2.15.0에서 CVE-2021-44228를 해결하기 위한 수정 사항이 기본 구성이 아닌 특정 불완전한 구성에서 확인되었습니다.
  • CVE-2021-45105: Apache Log4j2 2.0-alpha1~2.16.0 버전(2.12.3 제외)은 자체 참조 조회(lookup)에서 제어되지 않는 재귀로부터 보호되지 않았습니다.

TP-Link는 고객의 보안을 최우선으로 생각합니다. TP-Link에서는 관련 사항에 대해 조사중이며 더 많은 정보가 제공되는 대로 지속적으로 권고 사항을 업데이트할 예정입니다. 

Apache Log4j에 영향을 받지 않은 TP-Link 제품:

모든 Wi-Fi 공유기

모든 메시 Wi-Fi(Deco)

모든 범위 확장기

모든 전력선 어댑터

모든 모바일 Wi-Fi 제품

모든 SMB 공유기, 스위치, Omada EAP 및 Pharos CPE

모든 VIGI 제품

앱: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Apache Log4j에 영향을 받은 제품/서비스:

Omada 컨트롤러

Omada 소프트웨어 컨트롤러 및 Omada 하드웨어 컨트롤러 (OC200, OC300)는 CVE-2021-44228 및 CVE-2021-45046 취약점의 영향을 받으며, CVE-2021-45105에는 영향을 받지 않습니다.

TP-Link는 빌트인 Log4j2를 2.16 버전으로 업그레이드하기 위한 공식 업데이트를 아래와 같이 공개했으며 후속 업데이트에서 2.17 버전으로 업그레이드할 예정입니다. 가능한 빨리 업그레이드하는 것을 권장합니다!

Window의 경우: Omada_Controller_V5.0.29_Windows  

Linux (tar)의 경우: Omada_Controller_V4.4.8_Linux_x64.tar  

Linux (deb)의 경우: Omada_Controller_V4.4.8_Linux_x64.deb  

OC200의 경우: OC200(UN)_V1_1.14.2 Build 20211215 

OC300의 경우: OC300(UN)_V1_1.7.0 Build 20211215  

TP-Link 클라우드:

 Omada Cloud 기반 컨트롤러, 클라우드 액세스 서비스 및 취약점에 영향을 받은 기타 클라우드 서비스의 취약점을 수정하기 위해 Log4j2 버전을 업데이트하였습니다.

Deco4ISP

1.5.82보다 이전 버전은 취약점으로부터 영향을 받으므로 1.5.82 버전으로 업그레이드를 하시길 바랍니다.

유의사항

모든 권장 조치를 취하지 않으면 Apache Log4j2 취약점이 남아 있을 것입니다. TP-Link는 본 설명의 권장 사항에 따라 조치를 취하지 않아 초래되는 결과에 대해 어떠한 책임도 지지 않습니다. 

해당 FAQ가 유용했나요?

여러분의 의견은 사이트 개선을 위해 소중하게 사용됩니다.

From United States?

해당 지역의 제품, 이벤트 및 서비스를 받아보세요.