Oświadczenie w sprawie podatności Apache Log4j2

TP-Link ma świadomość istnienia podatności w Apache Log4j2:

• CVE-2021-44228
• CVE-2021-45046
• CVE-2021-45105

Nasza firma zawsze stawia bezpieczeństwo klientów na pierwszym miejscu. Na bieżąco śledzimy rozwój sytuacji wokół powyższych podatności.

Produkty, w których podatności nie występują:

Wszystkie routery bezprzewodowe

Wszystkie urządzenia Deco

Wszystkie wzmacniacze sygnału

Wszystkie transmitery sieciowe

Wszystkie routery 3G/4G i hotspoty

Wszystkie routery SMB, Przełączniki, Omada EAP oraz Pharos CPE

Wszystkie urządzenia VIGI

Aplikacje: Tether, Deco, Tapo, Kasa, tpMifi, Omada

Produkty i usługi, w których podatności występują:

Kontrolery Omada

W kontrolerach sprzętowych Omada (OC200, OC300) oraz w oprogramowaniu Omada Controller występują podatności CVE-2021-44228 oraz CVE-2021-45046, nie dotyczy ich natomiast podatność CVE-2021-45105. 

Poniższe aktualizacje oprogramowania aktualizują wykorzystywany Log4j2 do wersji 2.16. Niebawem zostanie dodana aktualizacja podnosząca wersję Log4j2 do 2.17. Zalecamy niezwłoczne zainstalowanie tych aktualizacji.

Dla Windows: Omada_Controller_V5.0.29_Windows  

Dla Linux (tar): Omada_Controller_V4.4.8_Linux_x64.tar  

Dla Linux (deb): Omada_Controller_V4.4.8_Linux_x64.deb  

Dla OC200: OC200(UN)_V1_1.14.2 Build 20211215 

Dla OC300: OC300(UN)_V1_1.7.0 Build 20211215  

TP-Link Cloud:

Log4j2 wykorzystywany w kontrolerach Omada opartych o chmurę, usłudze dostępu w chmurze i innych usługach z wykrytymi podatnościami został zaktualizowany do wersji naprawiającej podatności.

Deco4ISP

Podatności występują w wersjach wcześniejszych niż 1.5.82, prosimy o zaktualizowanie do tej wersji.

Zastrzeżenie

Podatności Apache Log4j2 mogą stanowić zagrożenie dla urządzeń w przypadku, gdy użytkownik nie podejmie wszystkich zalecanych działań zapobiegawczych. Firma TP-Link nie ponosi odpowiedzialności za konsekwencje nie zastosowania się do zaleceń zawartych w niniejszym oświadczeniu.