2021/12/10に公開されました、Apache Log4j(CVE-2021-44228)の脆弱性にて、
「NIAS V4.2.24674」以降で利用している<Apache Log4jのバージョン2(以下、Apache log4j2)>が
上記脆弱性の影響を受けることが判明致しました。
※「NIAS V4.1.20636」までのバージョンにつきましては、
Apache log4j2を利用していないため、本脆弱性の影響を受けることはございません
以前、本コンテンツにてご案内しておりました、
環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」の追加では対応が不十分であることを確認致しました。
本脆弱性に完全に対応するため、NIASで使用しているlogj2を脆弱性を受けないバージョンに
上げるためのバッチを公開致しますので、お手数をお掛け致しますが、
readme.txtの適用手順に従って以下のバッチを適用していただき、
NIASで使用しているlog4j2をバージョンアップしていただけますようお願い致します。
・参考情報
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
https://www.jpcert.or.jp/at/2021/at210050.html