Информация по log4j

В декабре опубликована информация о критической уязвимости (CVE-2021-44228 и CVE-2021-45046) в библиотеке Log4j языка Java.

Особенности использования библиотеки

  • Уязвимость возникает только при использовании библиотеки log4j-core-2.XX.X.jar версии 2.XX.X.

  • При использовании log4j-api-2.XX.X.jar и других, касса не подвержена уязвимости.

  • Библиотеки log4j-core-1.XX.X.jar версий 1.XX.X уязвимы только при явном использовании JMSAppender (то есть, когда идёт прямое обращение продукта к библиотеке).

  • SetRetail10 сервер использует библиотеку log4j-1.2.16.jar, но JMSAppender не задействован.

Начиная с версий: 10.3.5.6, 10.3.6.2 и 10.3.7.0 обновлена библиотека исправляющая уязвимость на кассах. Все серверные продукты CSI не используют данную библиотеку для работы логирования.

Информация по продуктам и использованию библиотек log4j в экосистеме Set Retail

Продукт/Сервис

Подвержен уязвимости

Пояснение

Продукт/Сервис

Подвержен уязвимости

Пояснение

Set Retail 10 кассы:

  • Клавиатурная;

  • Touch.

  • SCO:

    • CSI K;

    • Другие производители.

Только при наличии прямого доступа до кассы из внешней сети

https://crystals.atlassian.net/browse/CR-6966

https://crystals.atlassian.net/browse/SRTB-5660

Исправление выпущено в версиях:

  • 10.3.3.15;

  • 10.3.4.16;

  • 10.3.5.6;

  • 10.3.6.2;

  • 10.3.7.0 и во всех последующих версиях.

ComProxy (Продукт/Сервис)

Нет

Файл библиотеки log4j-1.2.17.jar используется, но JMS Appender не задействован.

Set Retail 10 сервер

Нет

  • Файл библиотеки log4j-1.2.16.jar используется, но JMS Appender не задействован.

Set Kiosk

Нет

Не используется log4j-core-2.XX.X.jar

Set Kit

Нет

Не используется log4j-core-2.XX.X.jar

Set ESB

Нет

Не используется log4j-core-2.XX.X.jar

Set Loyalty (Сервисы SLS)

Нет

Не используется log4j-core-2.XX.X.jar

Set Scales Centrum

Нет

Не используется log4j-core-2.XX.X.jar

Set Mark

Нет

Не используется log4j-core-2.XX.X.jar

Set Galya

Нет

Не используется log4j-core-2.XX.X.jar

Set Prisma

Нет

Не используется log4j-core-2.XX.X.jar

Центральный сервер лицензирования

Нет

Не используется log4j-core-2.XX.X.jar

Личный Кабинет ККТ

Нет

Не используется log4j-core-2.XX.X.jar

Сервис регистрации (setretail.com)

Нет

Не используется log4j-core-2.XX.X.jar

Дополнительная информация по безопасности log4j

https://logging.apache.org/log4j/2.x/security.html