Log4j脆弱性はInnoRules製品には影響がありません(2021/12/16 アップデート版)
Log4j脆弱性はInnoRules製品には影響がありません(2021/12/16 アップデート版)
現在、世界中で問題となっているLog4j2のリモートシェル実行関連のセキュリティ脆弱性に関して、以下をお伝えします。
– Log4j2の脆弱性については以下公式サイトを参照してください。
https://logging.apache.org/log4j/2.x/security.html
https://www.jpcert.or.jp/at/2021/at210050.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104
– 当社のInnoRules製品はApache Log4j 1系のバージョンを使用しています。Apache Log4j 1.2.17以下
– 上記文書に書かれている通り、影響を受けるLog4jバージョンは、Apache Log4j 2.15.0より前の2系のバージョンであり、弊社製品が利用しているApache Log4j 1系のバージョンは影響を受けないとの情報を確認しています。
₋ 脆弱性(CVE-2021-4104)については上記文書に書かれている通り、Apache Log4j 1.2 とJMSAppenderを同時に利用する際に影響が発生しますが、弊社製品ではJMSAppenderを利用していないため、影響を受けないとの情報を確認しています。
今後もInnoRules社は製品および製品が利用している3rd-partyライブラリのセキュリティに対して常に敏感に監視し、脆弱性が報告されたら迅速に情報を公開し、対策を確立し、お客様に被害が生じないよう最善を尽くします。