针对 Apache Log4j 的更新

截至 2021 年 12 月 17 日的最新信息

Pitney Bowes 正在努力解决与开源实用程序 Apache Log4j2 相关的安全问题(CVE-2021-44228 和 CVE-2021-45056)。我们已经对我们的系统(包括产品)进行了检查,确定了这些漏洞可能存在的位置。根据情况,我们要么通过更新到最新的版本 Log4j 修补了漏洞,要么临时采用了额外的缓解措施。这些额外的缓解措施包括更改 Log4j 配置以禁用可被利用的功能,以及更改网络控制和 Web 应用程序防火墙等额外控制层以防止漏洞被利用。

据我们所知,还没有 Pitney Bowes 客户或客户数据受到影响。

  • 发送技术
    我们的实体邮件计量设备不会受到攻击,并且不包含 Log4j2 软件。包含 Log4j2 软件的 SendPro 系列解决方案和邮件创建产品已得到修复,不会再受到攻击。为了做到充分谨慎,我们将升级所有包含旧版本 Log4j2 但均不易受到 CVE-2021-44228 攻击的传统运输和邮寄产品。


  • 全球电子商务
    配送、退货、跨境服务和物流服务都不易受到攻击。包含 Log4j2 软件的产品都已修复。为了做到充分谨慎,我们将升级包含旧版本 Log4j2 但均不易受到 CVE-2021-44228 攻击的产品。


  • 预分拣
    预分拣产品和服务不易受到攻击。

我们将保持高度警惕。我们专门的安全运营中心将持续监控和实时审查我们的控制、日志和警报,以防止任何异常行为或网络流量,并频繁检查我们所有的产品和基础设施。我们将继续与第三方合作伙伴和供应商密切合作,以确保他们提供必要的补丁程序并相应地更新其系统。

我们将根据保证要求向客户提供额外的更新。