MassLynx 또는 관련 프로세싱 소프트웨어가 log4j(CVE-2021-44228) 취약점의 영향을 받습니까? - WKB224560

환경

• MassLynx 4.2
• MassLynx 4.1

답변

Apache Log4j 취약점 업데이트 2022년 2월 3일

Waters는 2021년 12월 9일에 보안 연구원에 의해 발표된 "zero day" 취약점(CVE-2021-44228)에 대해 인식하고 있으며, 이는 일반 소프트웨어 패키지(Apache log4j)에 영향을 미칩니다. log4j는 웹 응용 프로그램과 클라우드 서비스 제공 업체에서 널리 사용되기 때문에 이 취약점의 전체 범위는 복잡하며 그 영향은 아직 결정 중입니다. Waters 제품 및 엔지니어링 팀에서 이 문제를 계속 조사하고 있습니다. Waters는 필요에 따라 고객에게 log4j 취약점에 대한 업데이트를 제공하고 평가가 완료되면 고객에게 알릴 것입니다.

초기 조사 결과 아래 나열된 Waters MassLynx 소프트웨어 및 관련 구성 요소는 Apache log4j 취약성의 영향을 받지 않는 것으로 확인되었습니다.

다음 Waters 소프트웨어에서 log4j*.jar 파일이 존재하는지 분석했습니다.

• MassLynx 4.2. (MassLynx 설치 프로그램의 FractionLynx, IonLynx, TargetLynx, OpenLynx, ChromaLynx, MetaboLynx, BioLynx 및 Maxent 옵션 포함)
• MassFragment
• Driftscope 3.0
• BiopharmaLynx 1.3.5
• MSe Dataviewer 2.0
• Progenesis QI
• Progenesis QI for Proteomics
• Symphony
• HDI1.6,
• DynamX3.0
• HDMS Compare 2.0
• PromassBridge 1.2
• LiveID1.2
• MassLynx Skyline Interface 1.2
• Waters 압축 및 노이즈 감소 도구(SCN968)
• PLGS3.0.3
• Driver Pack 2021 R1

이러한 소프트웨어 구성 요소 중, PLGS3.0.3 설치 폴더에만 log4j jar 파일이 포함되어 있습니다. PLGS는 Apache(https://logging.apache.org/log4j/2.x/security.html)에서 가장 최근에 발생한 보안 경고에 log4j의 취약한 버전으로 나열되지 않은 log4j 1.2.17 버전을 사용합니다. Log4j 1.2.17.jar에는 보고된 취약점과 관련된 JMSAppender.class 파일이 없습니다.

추가 정보