Apache Log4j2の任意のコード実行の脆弱性(CVE-2021-44228)に関するSecureWare製品への影響は以下の通りです。
【2021年12月17日 追記】
SecureWare/電子署名開発キットv1.5での回避策を追加しました。
* SecureWare/ICカード発行キット
本脆弱性の影響を受けません。
* SecureWare/暗号ボードマネージャ
本脆弱性の影響を受けません。
* SecureWare/秘密鍵装置マネージャ
本脆弱性の影響を受けません。
* SecureWare/開発キット
本脆弱性の影響を受けません。
* SecureWare/PKIアプリケーション開発キット
本脆弱性の影響を受けません。
* SecureWare/電子署名開発キット
- v1.4以前
Log4jを使用しておりますが、v1系であるため、
本脆弱性の影響を受けない旨がJPCERT/CCの通知(下記※)に報告されております。
※ https://www.jpcert.or.jp/at/2021/at210050.html
- v1.5
本脆弱性の影響を受けます。
以下の手順を実施し、ご利用中のLog4jのJARファイル(log4j-core-2.12.1.jar)から
Lookup機能を実行する JndiLookup.class を削除することで対処してください。
1.log4j-core-2.12.1.jarを任意のディレクトリにバックアップします。
2.log4j-core-2.12.1.jarの中から JndiLookup.class を削除します。
(以下はzipコマンドを使用した例になります。)
> zip -q -d log4j-core-2.12.1.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
以上になります。本手順を実施したlog4j-core-2.12.1.jarをご利用ください。
正常に削除されているか確認する場合は、上記手順を実施したlog4j-core-2.12.1.jarを解凍し、
org/apache/logging/log4j/core/lookup/配下に JndiLookup.class が存在しないことを確認してください。