・本修正モジュールは、ESMPRO/ServerManager Ver.6(Windows版) 用とESMPRO/ServerManager Ver.7(Windows版)用の2種類を提供します。適用対象のバージョンを確認の上、対象のバージョン用の修正モジュールを適用してください。
・本修正モジュールは、CVE-2021-44228 および CVE-2021-45046の脆弱性に対応しました。
・関連する以下の脆弱性については影響を受けません。
-CVE-2021-45105
ESMPRO/ServerManagerは log4j-core JAR ファイルを使用していますが、デフォルト以外のPatternLayoutを用いていないため影響を受けません。
-CVE-2021-44832
本脆弱性を悪用した攻撃を行うためには、まず遠隔から不正にサーバのログ設定ファイルにアクセスできる状態にする必要があります。ログ設定ファイルの不正アクセスがされない限り、本脆弱性の影響を受けません。
・パッチ適用後に特定のバージョン(Ver.6の場合、Ver.6.56以下、Ver7の場合、Ver7.10以下)をアップデートインストールした場合、パッチ適用したファイルが元に戻るためパッチの再適用が必要です。
・ESMPRO/ServerAgent、ESMPRO/ServerAgentService、ESMPRO/ServerAgent Extension、ExpressUpdate Agent、Ezclct Viewer は、Apache Log4jを使用しておらず本脆弱性の影響を受けないため問題ありません。
・ESMPRO/ServerManager (動作環境) の対象OSについては、以下をご参照ください。
Ver.6:ESMPRO/ServerManager Ver.6 動作環境/ソフトウェア
Ver.7:ESMPRO/ServerManager Ver.7 動作環境/ソフトウェア