Tietoa kriittisestä Log4J-tietoturvahaavoittuvuudesta

Tietoturvatutkijat löysivät haavoittuvuuden CVE-2021-44228 Apache Java logging library Log4j:ssä. Tietoturvaheikkous kohdistuu standardin mukaiseen menetelmään käsitellä lokiviestejä ohjelmistoissa. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa etänä mielivaltaisia komentoja sovelluspalvelimelle Log4j-prosessin oikeuksilla. Apache Log4J-komponentti on laajasti käytössä ja haavoittuvuus vaikuttaa kaikkiin palvelujen tarjoajiin, joilla on käytössä Java library Log4J (kaikki versiot, jotka ovat versiota 2.15.0 vanhempia). Lue lisää Apachen verkkosivuilta: Apache Log4j 2
 
Tilanteen ollessa alkuvaiheessa, meillä ei ole vielä kattavaa luetteloa Konica Minoltan sovelluksista/tarjoamasta, joihin tämä haavoittuvuus vaikuttaa. Arvioimme parhaillaan, mitä versioita tarjolla olevista sovelluksista tämä koskee, ja jos näitä sovelluksia löytyy, selvitämme parhaillaan, kuinka haavoittuvuus korjataan.

Toistaiseksi voimme kertoa, että olemme tarkistaneet seuraavien ohjelmistojen ja palveluiden tilan ja vahvistaa, että haavoittuvuus ei vaikuta niihin:
bizhub Evolution, CSRC, Remote Service Platform (RSP), Konica Minolta Remote Support (KMRS), AccurioPro Flux, Dispatcher Phoenix, FleetRMM, dokoni Find, dokoni Sync&Share, M-Files, eCopy PDF Pro Office, OL Connect, BENS PP spool, BENS Server, Document Navigator, Site Audit, Direct Smile/MDxM (Market Direct Cross Media), Power PDF, PageScope Enterprise Suite (PSES), PrintFleet, Remote Deployment Tool (RDT), EveryonePrint (Mobile Print), EveryonePrint Hybrid Cloud Platform (HCP), convert+share, Pcounter, bizhub Remote Panel (Remote Panel Server), Box Operator, Data Administrator, HDD BackUp Utility, HDD TWAIN Driver, IWS Deployment Tool, License Install Utility, Log Management Utility, Panel Customize Tool, Print Status Notifier, Real Time Mode TWAIN Driver, Tools for LK-114, IJ Manager, JobCentro, ColorCentro, AccurioPro Variable Data (Plugin for Indesign), Colibri, SpectraMagic DX, SpectraMagic NX, PaperManager, Easy Checker 2007, bizhub ECO Treedom, Assistant App,  Browser registration tool, Connector for SMB, Connector for FTP, Connector for WebDAV, Scan to Servers (WPH),  IWS generation two, Primera Retail App, Boot screen converter, SECURE Notifier Widget, Widgets in general – IT 6 and IWS GEN 2, OP Products.
 
Laitteiden osalta tämä ei vaikuta Konica Minoltan omiin monitoimilaitteisiin (MFP), tulostimien osalta arvioimme parhaillaan seuraavia malleja: bizhub 4000i, 5000i, 4020i ja 5020i. Ammattitulostusjärjestelmien EFI Fiery -tulostinohjaimet ja Creo-tulostinohjaimet eivät ole haavoittuvuuden piirissä. Haavoittuvuus ei koske myöskään Bens G4 ja USB-kortinlukijat/todennuslaiteita.
 
Jatkamme vielä niiden ohjelmistojen ja palveluiden tilan arviointia, joita ei ole listattu yllä.
 
Konica Minoltalle laitteidemme, sovelluksiemme ja palveluidemme turvallisuus on erittäin tärkeää, siksi pyrimme ratkaisemaan mahdollisen haavoittuvuuden korkeimmalla prioriteetilla ja nopeudella. Jatkamme päivityksien julkaisua vielä arvioitavana olevien ohjelmistojen/palveluiden osalta mahdollisimman nopeasti.