弊社サービスにおける、 Apache Log4j の脆弱性(CVE-2021-44228, CVE-2021-45046, CVE-2021-45105)についての利用状況・対応状況を以下にご案内いたします。

Apache Log4j の脆弱性に関する情報:https://www.jpcert.or.jp/at/2021/at210050.html

-----------------------------

■Apach Log4jを利用している弊社システム

以下サービスにおける一部のサブシステム

・Track Test

・Track Training

※上記影響を受けたシステムについては、Java ではありませんが、Scala (Java と同じく JVM で動作する言語) を利用しております。

※サブシステムの詳細情報は、控えさせていただきます。

■対応状況

上記記載の通り、弊社サービス「Track Test(試験サービス)」「Track Training(学習サービス)」の一部サブシステムにおいて、 log4j が利用されております。

そのため、2021年12月10日 付けで log4j 2.15.0 への更新を緊急パッチとして適用いたしました。

なお、2021年12月15日 付けで CVE-2021-45046 および対応版 log4j 2.16.0 が公開されておりますが、当該サブシステムではこの脆弱性が問題となる利用方法は行っていないため、再度の緊急パッチの適用は行わないものと判断しております。

※以下 2020/12/16 追加情報

その後公開されました新たな脆弱性として、CVE-2021-45046、CVE-2021-45105 に関する報告がございました。

この報告を受け、弊社ではこれらの脆弱性を解消する修正バージョン 2.17.0 の適用を 2021年12月20日 付けで実施いたしました。

(当該システムではこれらの脆弱性が問題となる利用方法は行っておらず、脆弱性の影響を受けてはおりません。)

本内容についてご不明な点がございましたら、Trackカスタマーサクセスまでご連絡をいただきますようよろしくお願い申し上げます。

-----------------------------


回答が見つかりましたか?