Logstorageおよび各製品に対するApache Log4jの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)の影響について(2022/1/31更新) | 【公式】統合ログ管理システム Logstorage

Logstorageおよび各製品に対するApache Log4jの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)の影響について(2022/1/31更新)

平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

JPCERTより2021年12月11日に Apache Log4j の脆弱性(CVE-2021-44228) について発表がございました。

また、その後、新たに3件の関連する脆弱性(CVE-2021-45046CVE-2021-45105CVE-2021-44832)についても発表されています。

本脆弱性の影響を受ける製品、コンポーネントは以下のとおりです。

【影響を受ける製品・バージョン】

・Logstorage Ver. 7.2.0 ~ Ver. 8.2.0

・ELC Analytics Ver. 2.5.0 ~ Ver. 3.3.0
・Logstorage-X/SIEM Ver. 1.0.0 ~ Ver. 1.9.0 (※2021/12/15 追加)
・Logstorage 連携パック for SKYSEA Client View Ver. 2.12.1 ~ Ver. 2.15.0(※2021/12/17 追加)

2022/1/14 追記

Logstorageについては、脆弱性対応版となるVer. 8.2.0A をリリースしました。

※2022/1/31 追記
Logstorage 連携パック for SKYSEA Client Viewについては、脆弱性対応版となるバージョン2.15.1をリリースしました。

【影響を受けない製品・バージョン】

・Logstorage Ver. 7.1.0 以前

・ELC Analytics Ver. 2.4.0 以前

・EventLogCollector 全バージョン

・Logstorage Agent 全バージョン

・SBT Basic / SBT for WindowsEvent / SBT for Oracle 全バージョン

・上記を除く各種連携パック・対応パック 全バージョン

※2021/12/17 追記

第3版(2021/12/15更新)では、Logstorage 各連携パックについては、本脆弱性の影響を受けないとしておりましたが、その後の調査で Logstorage 連携パック for SKYSEA Client View Ver. 2.12.1 ~ 2.15.0 については本件脆弱性の影響を受けることが判明しました。

ご報告が誤っており大変申し訳ございません。

※2021/12/20 追記

CVE-2021-45046についても、下記の詳細ページにて、脆弱性に対する対応について記載しております。

以前、CVE-2021-44228にて対応いただいた場合でも、Logstorage-X/SIEM Ver. 1.0.0 ~ 1.2.3 をご利用の場合を除き、追加で対応が必要となりますので、詳細ページをご確認いただきますようお願いいたします。

※2021/12/27 追記

CVE-2021-45105については、動作ログに関する出力設定を製品既定値から変更していない限り、脆弱性の影響は受けません。追加情報については、詳細ページをご確認ください。

2022/1/14 追記

CVE-2021-44832については、動作ログに関する出力設定を製品既定値から変更していない限り、脆弱性の影響は受けません。追加情報については、詳細ページをご確認ください。

本件詳細につきましては、以下のリンクからご確認ください。

※なお、上記リンク先の閲覧につきましては、有償サポート確認書又は契約書に記載されている「利用者ID」と「パスワード」が必要になります。

       
PAGE TOP