NECネッツエスアイ

Apache log4j における脆弱性対応について

  • HOME
  • Apache log4j における脆弱性対応について

Apache log4j における脆弱性対応について

お客様各位
2021年12月15日
NECネッツエスアイ株式会社
平素格別のご高配を賜り、厚く御礼申し上げます。
また共創ワークソリューション Zoomをご利用頂き、誠にありがとうございます。

The Apache Software Foundationから、Apache log4jにおける任意のコード実行の脆弱性(CVE-2021-44228)が公開されました。

Zoom Security Teamは徹底した調査を行い、Zoom Clients(VDIおよびVDIプラグインを含む)およびオンプレミスの展開(VRC、Meeting Connector、およびRecording Connector)には影響がないと考えています。

自社のインフラに対してApacheが推奨する緩和策に従うとともに、特定されたシステムに対して、Log4jバージョン2.15.0へのアップデートまたは推奨される緩和策の実施によるパッチを適用しています。

現時点では、お客様側での対応は必要ありません。

【2021年12月17日追加情報】

2021年12月9日、Apache Log4j JavaロギングライブラリにCVE-2021-44228と特定される脆弱性が公開され、2.15.0以前のすべてのLog4jのバージョンに影響があることがわかりました。
12月9日に最初の脆弱性公開を認識したZoom Security Teamは、直ちに調査を開始しました。その時点で脆弱なバージョンのLog4jを実行していると確認されたZoomのシステムに対して、Apacheが推奨する緩和策を適用しました。

2021年12月13日、Apache Log4j 2.15.0のCVE-2021-44228に対処するための修正が、特定の非デフォルト構成では不完全であり、Log4jバージョン2.16.0で問題が解決することが判明しました。この脆弱性は、CVE-2021-45046として確認されています。

現在までに確認された脆弱なバージョンのLog4jを持つシステムを Log4jバージョン2.16.0にアップデートしている最中です。さらに、ベンダーと積極的に連絡を取り、緩和策やパッチが利用可能になり次第、配備しています。

詳細はこちら(ZVC社サイト)
https://explore.zoom.us/en/trust/security/security-bulletin/security-bulletin-log4j/

※Zoom及びZoom名称を含むサービスはZoom Video Communications, Inc.が提供するサービスです。
※記載されている会社名および製品名は、各社の商標または登録商標です。