目次
Apache Log4j 脆弱性の概要
Apache Log4j の脆弱性(CVE-2021-44228)が公開されました。全世界の1/3のサーバで影響が出ると試算されています(12/15 WBSより)。
ユーザの入力値や情報をログに出力するシステムにおいて、悪意ある外部ユーザが攻撃を行った場合にリモートコードが実行される可能性があるとの事です。
Update:12/23
12/15 以降対策済みですが、日々IPAその他から追加対応が必要との情報もあり錯綜しております。弊社はLog4j の最新アップデートほか、根本原因である JndiLookup クラスをクラスパスから削除など全ての対策を網羅的に対応しております。
12/15 以降対策済みですが、日々IPAその他から追加対応が必要との情報もあり錯綜しております。弊社はLog4j の最新アップデートほか、根本原因である JndiLookup クラスをクラスパスから削除など全ての対策を網羅的に対応しております。
影響を受ける弊社製品と対応
Chat&Messenger デスクトップ、Webアプリ、モバイルアプリ
影響無し(過去バージョン含め該当ライブラリーの使用無し)
オンプレミス CAMserver
オンプレミス CAMserver で ビデオ・サーバを起動している場合該当します。
Web会議のビデオサーバで該当ライブラリーの依存関係がありましたが、ユーザ情報をログに出力する処理は該当無しです。システム担当者様に案内済みで、バージョンアップなど対応をサポートしていきます。
Chat&Messenger クラウドサーバ
弊社クラウドのWeb会議用ビデオサーバで該当ライブラリーの依存関係がありましたが、ユーザ情報をログに出力する処理は該当無しです。
12/14 にビデオサーバへ更新を反映済みです。