1. CVE-2021-44228

1.1 關於 Java Logging 軟體 Log4j v2.x CVE-2021-44228 漏洞，可藉由 JNDI lookup，進行遠端代碼執行，
影響 Log4j v2.0 至 v 2.14 版本。

1.2 Cellopoint 使用的版本為 v1.2.17，無 JNDI lookup 功能，且系統運作上並無此功能之需求，確認無此漏洞。

 

2. CVE-2019-17571

2.1 關於 CVE-2019-17571 漏洞，在未經驗證的情況下，SocketServer class 在使用反序列化(Deserialization) 工具時，可結合遠程代碼執行 (Remote Code Execution)，影響 Log4j v1.2 至 v1.2.17 版本。

2.2 Cellopoint 未使用 SocketServer class，無利用之可能。

 

3.CVE-2021-4104

3.1 關於 CVE-2021-4104 漏洞，攻擊者可以藉由使用 JMSAppender ，進行遠端代碼執行，影響 Log4j v1.2以上版本。

3.2 Cellopoint 無使用 JMSAppender 以及設定 TopicBindingName or TopicConnectionFactoryBindingName，無利用之可能。

 

4.CVE-2021-45046

4.1 關於 CVE-2021-45046 漏洞，為 Log4j v2.15.0 未完整修復  CVE-2021-44228 造成，攻擊者可藉由發送JNDI lookup訊息，進行遠端代碼執行。

4.2 Cellopoint 使用的版本為 v1.2.17，無 JNDI lookup 功能，確認無此漏洞。

 

5.CVE-2021-45105

5.1 關於 CVE-2021-45105 漏洞，攻擊者可利用 Thread Context Map 查詢指令，造成無限迴圈，引發DoS攻擊，影響 Log4j v2.0 至 v2.16.0 版本( 2.12.3 和 2.3.1 除外)

5.2 Cellopoint 使用的版本為 v1.2.17，確認無此漏洞。

 

綜合以上五點，確認 Cellopoint 未受 Log4j 漏洞之影響，且 Cellopoint 使用的 Log4j v1.2.17 在系統運作上相較其它版本穩定，近期無升級至 Log4j v2 之計畫。

 

本公司服務團隊將持續追蹤資安漏洞處理，保障系統服務穩定。