ページの先頭です。
ここから本文です。

お知らせ

Apache Log4j2の脆弱性 (CVE-2021-44228) に関するSecureWare/Credential Lifecycle Managerへの影響

Apache Log4j2の任意のコード実行の脆弱性 (CVE-2021-44228) に関する SecureWare/Credential Lifecycle Manager製品 (以下、CLMと記載) への影響は以下の通りです。

出荷製品バージョン CLMバージョン (※) 脆弱性の影響
V1.0 1.0
1.0.1
影響を受けない
V1.1.0 1.0.2
1.0.3 (CLM V1.1)
1.0.4 (CLM V1.1)
影響を受ける
V1.1.1 1.1.0 (CLM V1.1)
1.1.1 (CLM V1.1)
影響を受ける

※ WebアプリケーションのManifestファイルに記載のバージョン、およびコマンドの -version オプションにて出力されるバージョン

JPCERT/CCの通知に回避策として、「JndiLookupクラスをクラスパスから削除する」が紹介されており、 本回避策の適用は有効となりますので、適用する場合には下記関連情報の 「SecureWare/CLM Log4j脆弱性暫定回避策適用手順」をご参照ください。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

The Apache Software Foundationは、本脆弱性 (CVE-2021-44228、およびCVE-2021-45046) を修正したApache Log4jのバージョン2.16.0を公開しました。 恒久対処としては、Log4j 2.16.0 以降の適用をお願いします。 適用方法は、下記関連情報の 「SecureWare/CLM Log4j脆弱性恒久対処策適用手順」をご参照ください。

なお、本回避策や恒久対処策適用よる製品への影響は機能面、性能面共に無いことを確認済みです。

【2021年12月28日 追記】
追加で報告されている CVE-2021-45105 については、CLM製品既定のLog4j設定にてご利用の場合は影響を受けません。

製品名カテゴリ

SecureWare/Credential Lifecycle Manager

関連情報

  • SecureWare/CLM Log4j脆弱性暫定回避策適用手順
  • ファイル名: SecureWareCLM_log4j脆弱性暫定回避策適用手順.txt(形式:テキスト サイズ:2,775バイト)
    Linux環境向けの暫定回避策適用手順です。Windows版をご利用の場合は、PPサポートサービスへご相談ください。
  • SecureWare/CLM Log4j脆弱性恒久対処策適用手順
  • ファイル名: SecureWareCLM_log4j脆弱性恒久対処策適用手順.txt(形式:テキスト サイズ:3,640バイト)
    Linux環境向けの恒久対処策適用手順です。Windows版をご利用の場合は、PPサポートサービスへご相談ください。
  • Apache Log4j 2.16.0 物件
  • ファイル名: log4j-2.16.0.jar.forCLM.tar.gz(形式:tar.gz サイズ:2,088,050バイト)
    恒久対処策適用手順にて利用する、本脆弱性の修正された物件です。
  • コンテンツID: 3010103736
  • 公開日: 2021年12月21日
  • 最終更新日:2021年12月28日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。