Declaración sobre la vulnerabilidad de Apache Log4j

Aviso de seguridad
Actualizado04-26-2024 09:41:36 AM FAQ view icon156933

TP-Link es consciente de las siguientes vulnerabilidades en Apache Log4j2:

  • CVE-2021-44228: Las características JNDI de Apache Log4j2 <=2.14.1 utilizadas en la configuración, mensajes de registro y parámetros no protegen contra puntos finales LDAP y JNDI controlados por el atacante.
  • CVE-2021-45046: Se descubrió que la corrección para abordar CVE-2021-44228 en Apache Log4j2 2.15.0 estaba incompleta en ciertas configuraciones no predeterminadas.
  • CVE-2021-45105: Las versiones 2.0-alpha1 a 2.16.0 de Apache Log4j2 (excluyendo 2.12.3) no protegían contra la recursión no controlada de búsquedas auto-referenciales.

En TP-Link, la seguridad del cliente es lo primero. TP-Link está investigando y seguirá actualizando este aviso a medida que haya más información disponible.

Productos TP-Link no afectados:

Todos los routers Wi-Fi

Todos los Wi-Fi Mesh (Deco)

Todos los extensores de rango

Todos los adaptadores Powerline

Todos los productos de Wi-Fi móvil

Todos los routers SMB, conmutadores, Omada EAP y Pharos CPE

Todos los productos VIGI

APP: Tether, Deco, Tapo, Kasa, tpMiFi, Omada

Productos/Servicios afectados:

Controladores Omada

El Controlador de Software Omada y el Controlador de Hardware Omada (OC200, OC300) están afectados por las vulnerabilidades CVE-2021-44228 y CVE-2021-45046, y no están afectados por CVE-2021-45105.

Hemos lanzado actualizaciones oficiales a continuación para actualizar el Log4j2 incorporado a la versión 2.16 y actualizaremos a la versión 2.17 en una actualización posterior. ¡Recomendamos que actualices lo antes posible!

Para Windows: Omada_Controller_V5.0.29_Windows  

Para Linux (tar): Omada_Controller_V4.4.8_Linux_x64.tar  

Para Linux (deb): Omada_Controller_V4.4.8_Linux_x64.deb  

Para OC200: OC200(UN)_V1_1.14.2 Build 20211215 

Para OC300: OC300(UN)_V1_1.7.0 Build 20211215  

TP-Link Cloud:

Hemos actualizado la versión de Log4j2 para corregir las vulnerabilidades en el Controlador Basado en la Nube Omada, el servicio de Acceso a la Nube y otros servicios en la nube afectados por la vulnerabilidad.

Deco4ISP

Las versiones anteriores a 1.5.82 están afectadas, actualiza a la versión 1.5.82.

Descargo de responsabilidad

Las vulnerabilidades de Apache Log4j2 permanecerán si no tomas todas las acciones recomendadas. TP-Link no puede asumir ninguna responsabilidad por las consecuencias que podrían haberse evitado siguiendo las recomendaciones de esta declaración.

¿Es útil este artículo?

Tus comentarios nos ayudan a mejorar esta web.