Apache Log4j2の任意のコード実行の脆弱性 (CVE-2021-44228) に関する
SecureWare/Credential Lifecycle Manager製品 (以下、CLMと記載) への影響は以下の通りです。
出荷製品バージョン |
CLMバージョン (※) |
脆弱性の影響 |
V1.0 |
1.0
1.0.1
|
影響を受けない |
V1.1.0 |
1.0.2
1.0.3 (CLM V1.1)
1.0.4 (CLM V1.1)
|
影響を受ける |
V1.1.1 |
1.1.0 (CLM V1.1)
1.1.1 (CLM V1.1)
|
影響を受ける |
※ WebアプリケーションのManifestファイルに記載のバージョン、およびコマンドの -version オプションにて出力されるバージョン
JPCERT/CCの通知に回避策として、「JndiLookupクラスをクラスパスから削除する」が紹介されており、
本回避策の適用は有効となりますので、適用する場合には下記関連情報の
「SecureWare/CLM Log4j脆弱性暫定回避策適用手順」をご参照ください。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
The Apache Software Foundationは、本脆弱性 (CVE-2021-44228、およびCVE-2021-45046) を修正したApache Log4jのバージョン2.16.0を公開しました。
恒久対処としては、Log4j 2.16.0 以降の適用をお願いします。
適用方法は、下記関連情報の
「SecureWare/CLM Log4j脆弱性恒久対処策適用手順」をご参照ください。
なお、本回避策や恒久対処策適用よる製品への影響は機能面、性能面共に無いことを確認済みです。
【2021年12月28日 追記】
追加で報告されている CVE-2021-45105 については、CLM製品既定のLog4j設定にてご利用の場合は影響を受けません。