Apache Log4j の脆弱性について

現在公表、報道されております Apache Log4j の脆弱性について、弊社見解をご案内いたします。

■脆弱性対象
　・Apache Log4j 2.15.0 より前の 2 系のバージョン
　　※Apache Log4j 1 系のバージョンは影響を受けません

　▼任意のコードが実行可能な脆弱性　(CVSSv3スコア,深刻度)
　　CVE-2021-44228　(10.0,緊急)　

　▼サービス運用妨害攻撃の脆弱性　(CVSSv3スコア,深刻度)
　　CVE-2021-45046　(3.7,注意)　

■詳細情報ページ
　https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

■対策方法
　Log4j 2.15.0 以上へのアップデート

本脆弱性は、Javaベースのロギングライブラリの機能を悪用する事にて、任意のコードが実行可能となる脆弱性です。

また「Apache Log4j」での脆弱性となりますが、本「Apache」は、ソフトウェア管理団体を示すものとなり、「Apache HTTP Server」を指すものではございません。

「Apache Log4j」は、弊社構築のサーバにて通常導入を行いませんが、TomcatやJBoss等、Javaを利用したサービスを、お客様にて運用の際は、「Apache Log4j」を利用されている可能性がございます。

誠に恐れ入りますが、お客様導入のアプリケーションは、ネットアシストの保守範囲外となります為、お客様にてご確認をお願い致します。