Italiano English French Spanish Deutsch linkedin youtube
  1. Home
  2. Blog
  3. Dichiarazione di MPS Monitor sulla vulnerabilità di sicurezza nel logging framework log4j basato su Java

Dichiarazione di MPS Monitor sulla vulnerabilità di sicurezza nel logging framework log4j basato su Java

15 Dic 2021
by Nicola De Blasi

Durante il fine settimana, è stata segnalata una vulnerabilità di sicurezza molto grave nel logging framework log4j basato su Java (CVE-2021-44228), che viene al momento attivamente utilizzata. Questa anomalia è nota anche come “log4shell” e fornisce un vettore per l’esecuzione di codice remoto.

La sicurezza è una priorità assoluta per MPS Monitor, quindi abbiamo esaminato con attenzione la nostra infrastruttura per valutare la nostra esposizione a questa vulnerabilità e per assicurarci di continuare a mantenere un ambiente sicuro per i Dealer che usano la nostra piattaforma e i loro clienti.

A seguito di questa valutazione completa ed estesa, possiamo affermare che MPS Monitor non è impattata da alcun rischio dovuto a questa vulnerabilità.

Più in dettaglio:

  • Tutti i nostri servizi Cloud e lato server sono basati su .NET. Non utilizziamo log4j e pertanto nessun sistema server, processo o servizio è interessato.
  • MPS Monitor Windows DCA è basato su .NET e non utilizza Java in nessuna parte della sua base di codice. Log4j non è presente in alcun modo nel pacchetto software Windows DCA.
  • Su alcune versioni dei DCA Embedded, utilizziamo Java e Log4J. Le versioni di Embedded DCA che utilizzano Java sono:

o Samsung Embedded DCA

o Kyocera Embedded DCA

Su tali applicazioni, abbiamo effettuato controlli approfonditi e possiamo confermare che la versione di Log4J che utilizziamo non è tra quelle interessate dalla vulnerabilità.

Abbiamo inoltre verificato che le classi e le funzioni che possono essere sfruttate dalla vulnerabilità non sono presenti in nessuna delle versioni Embedded attualmente distribuite né nelle versioni precedenti.

  • Per i clienti HP che utilizzano MPS Monitor con HP Smart Device Services e per i clienti HP SDS Action Center, Java e Log4j non vengono utilizzati in JAMC né in nessun altro componente SDS.

Possiamo dunque ufficialmente affermare che CVE-2021-44428 non pregiudica in alcun modo la sicurezza del sistema MPS Monitor. Non è necessaria alcuna azione da parte dei clienti MPS Monitor né da parte nostra a causa di questa vulnerabilità.

I Dealer che stanno utilizzando MPS Monitor per gestire i dispositivi di stampa dei loro clienti, possono inoltrare loro questo messaggio e dare loro la massima tranquillità sul livello di sicurezza fornito dal sistema di gestione remota.

Per saperne di più sulla posizione generale di sicurezza di MPS Monitor, è possibile leggere il white paper MPS Platform Security di Keypoint Intelligence:

https://www.mpsmonitor.com/docs/MPSMonitor_PlatformSecurity.pdf

Prova gratis MPS Monitor sul tuo parco

Richiedi demo
 

MPS Monitor è partner di

Zero Zero Toner
Print Releaf partners
HP Smart Device Services
 

Certificazioni

ISO 27001:2014 Certification
Buyers Laboratory Gold Tested Solution 2016
Platform-with-HP-Devices-Policy-Compliance-blk-lettering-2020
Buyers Lab 2021 pick
Logo SOC
Logo CSA Star Level Two