Apache Log4j に、任意のJavaコードが実行可能な脆弱性(JVNVU#96768815) が報告されました。

ESMPRO/ServerManager Ver.6.37～6.56およびVer.7.00～7.10 では、この脆弱性を含む Apache Log4j の
バージョンを使用しており、脆弱性を利用した攻撃が行われる可能性があります。
本パッチを適用することにより、この脆弱性を利用した攻撃を抑止することができます。

修正情報

その他

本脆弱性を利用した攻撃が行われる可能性があります。
本パッチを適用することにより、この脆弱性を利用した攻撃を抑止します。 

本脆弱性を利用した攻撃に対処するため 

スタートメニューのプログラム＞ESMPRO＞バージョン情報をクリックし、バージョン情報確認ツールを起動してください。

・Ver.6の場合
　マネージャの「カレントバージョン」を確認してください。
　「カレントバージョン」が 6.37～6.56の範囲に含まれるバージョンが表示されている場合、本パッチを適用してください。 
・Ver.7の場合
　マネージャの「カレントバージョン」を確認してください。
　「カレントバージョン」が 7.00～7.10の範囲に含まれるバージョンが表示されている場合、本パッチを適用してください。 

アップデート手順書に従って、確認してください。 

機種依存はありません。

アップデート手順書に従って、適用をお願いします。 

・本修正モジュールは、ESMPRO/ServerManager Ver.6(Windows版) 用とESMPRO/ServerManager Ver.7(Windows版)用の2種類を提供します。適用対象のバージョンを確認の上、対象のバージョン用の修正モジュールを適用してください。

・本修正モジュールは、CVE-2021-44228 および CVE-2021-45046の脆弱性に対応しました。

・関連する以下の脆弱性については影響を受けません。
　－CVE-2021-45105
　　ESMPRO/ServerManagerは log4j-core JAR ファイルを使用していますが、デフォルト以外のPatternLayoutを用いていないため影響を受けません。
　－CVE-2021-44832
　　本脆弱性を悪用した攻撃を行うためには、まず遠隔から不正にサーバのログ設定ファイルにアクセスできる状態にする必要があります。ログ設定ファイルの不正アクセスがされない限り、本脆弱性の影響を受けません。

・パッチ適用後に特定のバージョン(Ver.6の場合、Ver.6.56以下、Ver7の場合、Ver7.10以下)をアップデートインストールした場合、パッチ適用したファイルが元に戻るためパッチの再適用が必要です。

・ESMPRO/ServerAgent、ESMPRO/ServerAgentService、ESMPRO/ServerAgent Extension、ExpressUpdate Agent、Ezclct Viewer は、Apache Log4jを使用しておらず本脆弱性の影響を受けないため問題ありません。

・ESMPRO/ServerManager (動作環境) の対象OSについては、以下をご参照ください。
　Ver.6：ESMPRO/ServerManager Ver.6 動作環境/ソフトウェア
　Ver.7：ESMPRO/ServerManager Ver.7 動作環境/ソフトウェア