Apache Log4jの脆弱性(CVE-2021-44228)の影響について
- 2021年12月16日 13:00:00
- マネー
- Dream News
● CVE-2021-44228に関するセキュリティアドバイザリ
※2021年12月16日 0:20(日本時間)時点の情報となります。最新の状況についてはウェブサイトのセキュリティアドバイザリ< https://security-advisory.acronis.com/advisories/SEC-3859 >をご確認ください。
■説明
Apache Log4jのライブラリーに、セキュリティ上の重大な脆弱性があることが確認されました。この脆弱性は、CVE-2021-44228として登録されています。< https://nvd.nist.gov/vuln/detail/CVE-2021-44228 >
Apache Log4j の設定、ログメッセージ、パラメータに使用されるJNDI(Java Naming and Directory Interface)の機能が、攻撃者が制御するLDAPやその他のJNDI関連エンドポイントにから保護されないというものです。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージ検索置換が有効になっている場合、LDAPサーバーから読み込まれた任意のコードを実行することができます。
■影響を受ける製品
現在、アクロニスのセキュリティチームは本脆弱性の影響を受ける可能性のある製品について調査を行っています。調査の進捗に応じて、影響を受ける製品に関する情報を本アドバイザリで更新します。
Acronis Cyber Protect Cloud
Log4jライブラリーは、Elasticsearchモジュールの一部として当該製品に含まれています。Elasticsearchは、Java Security Managerを使用しているため、本脆弱性によるリモートコード実行の影響を受けにくくなっています。< https://discuss.elastic.co/t/apache-log4j2-remote-code-execution-rce-vulnerability-cve-2021-44228-esa-2021-31/291476 >
さらなる予防措置として、影響を受けている可能性があるサーバーからのアウトバウンド接続をブロックするファイアウォールルールを適用しました。アクロニスは引き続き、状況を監視し、お客様を保護するために必要な措置を講じてまいります。
Acronis Cyber Protect Cloudに対して、この脆弱性が悪用された兆候は確認されていません。
■影響を受けない製品
以下の製品は、影響を受けないことが確認されています。
・Acronis Cyber Backup 15
・Acronis Cyber Backup 12.5
・Acronis Cyber Infrastructure 3.5および4.x
・Acronis Cyber Files 8.6.2以降
・Acronis Cyber Protect Home Office(旧Acronis True Image)バージョン2017以降
・Acronis Snap Deploy 5 および 6
・Acronis Backup 11.7
・Acronis DeviceLock DLP 9.0
・Acronis MassTransit 8.1 および 8.2
・Acronis Files Connect 10.7以降
■予防措置
すべてのお客様に対して、影響を受ける可能性のあるサーバーからのDNSクエリーとすべてのアウトバウンド接続をブロックし、監視することを推奨します。また、該当するApacheのセキュリティアドバイザリ< https://logging.apache.org/log4j/2.x/security.html >も併せてご確認ください。
■CVSS Score
10.0 Critical
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
< https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H >
■CWEs
・CWE-1352
< https://cwe.mitre.org/data/definitions/1352.html >
■参照
・CVE-2021-44228
< https://nvd.nist.gov/vuln/detail/CVE-2021-44228 >
● CVE-2021-44228関連のブログ記事
・インターネット全体の脅威となるLog4jのゼロデイ
< https://www.acronis.com/ja-jp/blog/posts/log4j-zero-day-poses-an-internet-wide-threat >
・Apache Log4jの重大な脆弱性が発見されるー知っておくべきこと
< https://www.acronis.com/ja-jp/blog/posts/critical-apache-log4j-vulnerability-discovered-heres-what-you-need-to-know >
● CVE-2021-44228関連のウェビナー
2021年12月16日(木)23:00(日本時間)より、本件について当社セキュリティエキスパートがご説明をするウェビナーを開催いたします。詳細およびお申込みについてはこちら< https://promo.acronis.com/20211216_Global-FY21-Q4-EN-Educational-Webinar-Log4j-Vulnerability_LP1-Registration.html >をご覧ください。
アクロニスについて
アクロニスは、データ保護とサイバーセキュリティが一体となった統合型の自動サイバープロテクションにより、安全性、アクセス性、プライバシー、真正性、セキュリティ(SAPAS)に関連する現代のデジタル社会の課題を解決します。サービスプロバイダーとIT専門家の要求に応える柔軟なデプロイメントモデルと、次世代型の画期的なアンチウイルス、バックアップ、ディザスタリカバリ、エンドポイント保護管理ソリューションによって、データ、アプリケーション、システムに対して上質のサイバープロテクションを提供します。受賞歴のあるAIベースのアンチマルウェアテクノロジーとブロックチェーンベースのデータ認証テクノロジーにより、クラウドからハイブリッド、さらにはオンプレミスまで、あらゆる環境を予測可能かつ低いコストで保護します。
2003年にシンガポールで設立され、2008年にスイスで法人化されたアクロニスは、現在19か国の34の拠点で1,700人を超える従業員を抱えています。アクロニスのソリューションは、550万人以上のホームユーザーと50万社以上の企業の信頼を得ており、この企業にはFortune 1000選出企業のすべてと一流プロスポーツチームが含まれています。アクロニスの製品は150か国以上の5万社のパートナーおよびサービスプロバイダー経由で提供され、40以上の言語でご利用いただけます。
Acronis(R)は米国、およびその他の国におけるAcronis International GmbHの登録商標です。
ここに記載されるその他すべての製品名および登録/未登録商標は、識別のみを目的としており、その所有権は各社にあります。
配信元企業:アクロニス・ジャパン株式会社
プレスリリース詳細へ
ドリームニューストップへ
自閉スペクトラム症公表の長男が3歳に グラドル母「ゆっくり成長しています」
北朝鮮「ごみ風船」中断表明 「批判ビラ再開なら100倍返し」
室井佑月氏「裏金を批判したら悪、みたいな常識になってんの?」タレントの発言に疑問
大谷翔平が今季初の申告敬遠 地元ファンから大ブーイング「打たせてくださいよー」とX
「虎に翼」沢村一樹が“らしさ”全開で登場、小橋の髪に…「『つづく』って斬新」ネット沸く
エムバペがRマドリードと契約、BBC報道 年俸25・5億円+5年間でボーナス255億円
怒った妻に持たされた「食欲減退弁当」→愛情がたっぷり詰まったキャラ弁だった
舛添要一氏「日本沈没の原因」に持論「『日本は共産国家ですね』と中国人が驚いている」
能登で2020年末から続く群発地震の一つか 山岡・名大名誉教授
大谷翔平3打数無安打も捕手打撃妨害、今季初の敬遠で2度出塁 ドジャースはカード勝ち越し
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
浜崎あゆみ、子供の写真公開に疑いの声止まず「よそのお宅の子供?」
大谷翔平被弾投手が悪態ついて退場処分!次打者フリーマンと対戦中に判定巡り塁審と口論
YouTuberジュキヤの動画企画が大炎上「普通に痴漢」「気持ち悪すぎ」
千原せいじのシエラレオネ巡る発言 NPO代表理事が公式謝罪忠告「最悪、国家間の問題に発展」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
大谷翔平10試合ぶり14号 シティフィールド初アーチ、26球場目は自らの日本人記録更新
大谷に被弾→次打者判定で審判と口論→退場→「チーム、自分も最悪」→戦力外
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
TikTokを賑わす「フエラムネごめんなサイダー味」がセブンイレブンで再販!じゅるるマスカットも買うなら今!
小倉優子、不自然な“二重ライン”にネット騒然「やっぱり整形?」
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
大原櫻子、ガーシー暴露後初のSNS投稿に賛否の声「イメージ最悪になった」
自閉スペクトラム症公表の長男が3歳に グラドル母「ゆっくり成長しています」
北朝鮮「ごみ風船」中断表明 「批判ビラ再開なら100倍返し」
室井佑月氏「裏金を批判したら悪、みたいな常識になってんの?」タレントの発言に疑問
大谷翔平が今季初の申告敬遠 地元ファンから大ブーイング「打たせてくださいよー」とX
怒った妻に持たされた「食欲減退弁当」→愛情がたっぷり詰まったキャラ弁だった
エムバペがRマドリードと契約、BBC報道 年俸25・5億円+5年間でボーナス255億円
「虎に翼」沢村一樹が“らしさ”全開で登場、小橋の髪に…「『つづく』って斬新」ネット沸く
舛添要一氏「日本沈没の原因」に持論「『日本は共産国家ですね』と中国人が驚いている」
能登で2020年末から続く群発地震の一つか 山岡・名大名誉教授
「アンメット」岡山天音の大人の色気が“沼すぎる”と話題「外食していたら店員さんから声を…」