В декабре опубликована информация о критической уязвимости (CVE-2021-44228 и CVE-2021-45046) в библиотеке Log4j языка Java. |
Уязвимость возникает только при использовании библиотеки log4j-core-2.XX.X.jar
версии 2.XX.X
.
При использовании log4j-api-2.XX.X.jar
и других, касса не подвержена уязвимости.
Библиотеки log4j-core-1.XX.X.jar
версий 1.XX.X
уязвимы только при явном использовании JMSAppender
(то есть, когда идёт прямое обращение продукта к библиотеке).
SetRetail10 сервер использует библиотеку log4j-1.2.16.jar
, но JMSAppender
не задействован.
Начиная с версий: 10.3.5.6, 10.3.6.2 и 10.3.7.0 обновлена библиотека исправляющая уязвимость на кассах. Все серверные продукты CSI не используют данную библиотеку для работы логирования.
Продукт/Сервис | Подвержен уязвимости | Пояснение |
---|---|---|
Set Retail 10 кассы:
| Только при наличии прямого доступа до кассы из внешней сети | https://crystals.atlassian.net/browse/CR-6966 https://crystals.atlassian.net/browse/SRTB-5660 Исправление выпущено в версиях:
|
ComProxy (Продукт/Сервис) | Нет | Файл библиотеки |
Set Retail 10 сервер | Нет |
|
Set Kiosk | Нет | Не используется |
Set Kit | Нет | Не используется |
Set ESB | Нет | Не используется |
Set Loyalty (Сервисы SLS) | Нет | Не используется |
Set Scales Centrum | Нет | Не используется |
Set Mark | Нет | Не используется |
Set Galya | Нет | Не используется |
Set Prisma | Нет | Не используется |
Центральный сервер лицензирования | Нет | Не используется |
Личный Кабинет ККТ | Нет | Не используется |
Сервис регистрации (setretail.com) | Нет | Не используется |
https://logging.apache.org/log4j/2.x/security.html