脆弱性に関する情報公開

Logstorageおよび各製品に対するApache Log4jの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)の影響について【2022年12月19日更新】

平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

JPCERTより2021年12月11日に Apache Log4j の脆弱性(CVE-2021-44228) について発表がございました。

また、その後、新たに3件の関連する脆弱性(CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)についても発表されています。

本脆弱性の影響を受ける製品、コンポーネントは以下のとおりです。

【影響を受ける製品・バージョン】

・Logstorage Ver. 7.2.0 ~ Ver. 8.2.0
・ELC Analytics Ver. 2.5.0 ~ Ver. 3.3.0
・Logstorage-X/SIEM Ver. 1.0.0 ~ Ver. 1.9.0 (※2021/12/15 追加)
・Logstorage 連携パック for SKYSEA Client View Ver. 2.12.1 ~ Ver. 2.15.0(※2021/12/17 追加)

【2022年1月14日 更新】
Logstorageについては、脆弱性対応版となるVer. 8.2.0A をリリースしました。

【2022年1月31日 更新】
Logstorage 連携パック for SKYSEA Client Viewについては、脆弱性対応版となるVer. 2.15.1をリリースしました。

【2022年12月19日 更新】
Logstorage-X/SIEM については、脆弱性対応版となるVer. 1.10.0 をリリースしました。
【影響を受けない製品・バージョン】
・Logstorage Ver. 7.1.0 以前
・ELC Analytics Ver. 2.4.0 以前
・EventLogCollector 全バージョン
・Logstorage Agent 全バージョン
・SBT Basic / SBT for WindowsEvent / SBT for Oracle 全バージョン
・上記を除く各種連携パック・対応パック 全バージョン

【2022年12月17日 更新】
第3版(2021/12/15更新)では、Logstorage 各連携パックについては、本脆弱性の影響を受けないとしておりましたが、その後の調査で Logstorage 連携パック for SKYSEA Client View Ver. 2.12.1 ~ 2.15.0 については本件脆弱性の影響を受けることが判明しました。
ご報告が誤っており大変申し訳ございません。

※2021/12/20 追記
CVE-2021-45046についても、下記の詳細ページにて、脆弱性に対する対応について記載しております。
以前、CVE-2021-44228にて対応いただいた場合でも、Logstorage-X/SIEM Ver. 1.0.0 ~ 1.2.3 をご利用の場合を除き、追加で対応が必要となりますので、詳細ページをご確認いただきますようお願いいたします。

※2021/12/27 追記
CVE-2021-45105については、動作ログに関する出力設定を製品既定値から変更していない限り、脆弱性の影響は受けません。追加情報については、詳細ページをご確認ください。

※2022/1/14 追記
CVE-2021-44832については、動作ログに関する出力設定を製品既定値から変更していない限り、脆弱性の影響は受けません。

追加情報については、詳細ページをご確認ください。本件詳細につきましては、以下のリンクからご確認ください。

https://logstorage.com/customer/CVE-2021-44228.html

※なお、上記リンク先の閲覧につきましては、有償サポート確認書又は契約書に記載されている「利用者ID」と「パスワード」が必要になります。

TOP