本件は多数お問合せが寄せられており、現時点で調査中の情報もあることから、今後の動向次第で下記掲載内容を修正、更新する予定があります。現時点にて明らかになった事実を掲載しておりますので、連携される他の製品やベンダーの注意喚起への注視のほか、本エントリーの更新内容も逐次ご確認ください。
概要
2021年12月9日(米国時間)。Javaのロギングライブラリ「Apache Log4j」(Log4j)で任意のコード実行が可能になる脆弱性を、【CVE-2021-44228】として公開されました。
この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
詳細につきましては Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(JPCERT/CC) を参照ください。
PassLogic への影響に関する見解
PassLogic製品ならびに、PassClip L に関しては、Java のロギングライブラリは利用しておらず、本脆弱性の直接の影響はありませんのでご安心ください。
共通脆弱性識別子 | 想定される影響 |
CVE-2021-44228 | 該当なく、影響ありません |
CVE-2021-45046 | 該当なく、影響ありません |
CVE-2021-45105 | 該当なく、影響ありません |
ご注意
PassLogic と同じサーバにJavaで作られたモジュールを共存させていたり、リバースプロキシの遷移後のアプリケーションがJavaで作られた場合等は、PassLogic が影響を受ける可能性は考えられます。
他社Java製アプリケーションとの共存、ならびにJava製アプリケーションとの連携をする場合は、別途お客様にて適切な窓口へのご確認をお願い致します。
log4cxx.x86_64 は本脆弱性と無関係ですので、削除を行わないようお願いします。PassLogic で利用している Freeradius rpm は log4cxx.x86_64 に依存していますので、削除はお控えください。
ご不明点がありましたら、お問合せください。
参考サイト
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html