Apache Log4j 脆弱性(CVE-2021-44228)への対応について
2021年12月17日
株式会社ビットフォレスト
脆弱性の概要
オープンソースのロギングライブラリ「Apache Log4j」に、任意のコード実行の脆弱性(CVE-2021-44228)があることが発表されました。
※JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
この脆弱性は文字通り、第三者がリモートからApach Log4jを利用しているサーバー上で任意のコードを実行できるというものです。
VAddyの対応状況
弊社では本脆弱性情報が公開された2021年12月10日よりVAddyサービスへの本脆弱性の影響の調査を開始し、VAddy検査サーバー/プロキシサーバー/Webサーバーおよび弊社が提供するツール等において本脆弱性の影響を受けないことを確認しております。
それと同時に、VAddy Enterpriseプランで提供しているSSRF機能のオプションとしてLog4j検査機能の実装を開始し、2021年12月13日よりVAddy Enterpriseプランをご利用のお客様向けに提供を開始しています。
・プレスリリース
https://vaddy.net/ja/release/20211213.html
また、お客様がご利用されるVAddy管理コンソールに導入されているクラウド型WAF「Scutum」においても、本脆弱性を狙った攻撃への防御機能は実装されています。
・プレスリリース
https://www.scutum.jp/topics/images/pressrelease20211213.pdf
本脆弱性については、引き続き情報収集を進めてまいります。
2022年1月12日 追記
無料トライアルを含む全てのプランにおいて、Apache Log4jの脆弱性(CVE-2021-44228)検査機能の提供を開始しました。
・プレスリリース
https://vaddy.net/ja/release/20220112.html
2022年2月1日 追記
2022年1月31日までの期間限定で提供していたApache Log4j脆弱性(CVE-2021-44228)検査機能の提供を終了いたしました。