MassLynx 또는 관련 프로세싱 소프트웨어가 log4j(CVE-2021-44228) 취약점의 영향을 받습니까? - WKB224560

환경

• MassLynx
• ProteinLynx Global Server
• FractionLynx
• IonLynx
• TargetLynx
• OpenLynx
• ChromaLynx
• MetaboLynx
• BioLynx
• MaxEnt

답변

아래 나열된 Waters MassLynx 소프트웨어 및 관련 구성 요소는 Apache log4j 취약점의 영향을 받지 않는 것으로 확인되었습니다.

다음 Waters 소프트웨어에서 log4j*.jar 파일이 존재하는지 분석했습니다.

• MassLynx(MassLynx 설치 프로그램의 FractionLynx, IonLynx, TargetLynx, OpenLynx, ChromaLynx, MetaboLynx, BioLynx 및 Maxent 옵션 포함)
• MassFragment
• Driftscope 3.0
• BiopharmaLynx 1.3.5
• MSe Dataviewer 2.0
• Progenesis QI
• Progenesis QI for Proteomics
• Symphony
• HDI1.6,
• DynamX3.0
• HDMS Compare 2.0
• PromassBridge 1.2
• LiveID1.2
• MassLynx Skyline Interface 1.2
• Waters 압축 및 노이즈 감소 도구(SCN968)
• PLGS3.0.3
• Driver Pack 2021 R1

이러한 소프트웨어 구성 요소 중 PLGS3.0.3 설치 폴더에만 log4j Jar 파일이 포함되어 있습니다. PLGS는 log4j 1.2.17 버전을 사용하며, 이 버전은 가장 최근에 Apache에서 발행된 보안 경고(https://logging.apache.org/log4j/2.x/security.html)에 취약한 log4j 버전으로 나열되지 않았습니다. Log4j 1.2.17.jar에는 보고된 취약점과 관련된 JMSAppender.class 파일이 포함되어 있지 않습니다.
[1]

추가 정보

"zero day" 취약점(CVE-2021-44228)은 2021년 12월 9일에 보안 연구원에 의해 발표되었으며 일반 소프트웨어 패키지(Apache Log4j Vulnerability)에 영향을 미칩니다. log4j는 웹 응용 프로그램과 클라우드 서비스 제공 업체에서 널리 사용되기 때문에 이 취약점의 전체 범위는 복잡합니다. MassLynx(현재까지의 모든 버전)에는 log4j가 포함되어 있지 않습니다.