Apache Log4j 脆弱性（CVE-2021-44228）への対応について

2021年12月17日
　株式会社ビットフォレスト

脆弱性の概要

オープンソースのロギングライブラリ「Apache Log4j」に、任意のコード実行の脆弱性（CVE-2021-44228）があることが発表されました。

※JPCERT/CC Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html

この脆弱性は文字通り、第三者がリモートからApach Log4jを利用しているサーバー上で任意のコードを実行できるというものです。

弊社では本脆弱性情報が公開された2021年12月10日よりVAddyサービスへの本脆弱性の影響の調査を開始し、VAddy検査サーバー／プロキシサーバー／Webサーバーおよび弊社が提供するツール等において本脆弱性の影響を受けないことを確認しております。

それと同時に、VAddy Enterpriseプランで提供しているSSRF機能のオプションとしてLog4j検査機能の実装を開始し、2021年12月13日よりVAddy Enterpriseプランをご利用のお客様向けに提供を開始しています。

また、お客様がご利用されるVAddy管理コンソールに導入されているクラウド型WAF「Scutum」においても、本脆弱性を狙った攻撃への防御機能は実装されています。

本脆弱性については、引き続き情報収集を進めてまいります。

無料トライアルを含む全てのプランにおいて、Apache Log4jの脆弱性（CVE-2021-44228）検査機能の提供を開始しました。

2022年1月31日までの期間限定で提供していたApache Log4j脆弱性（CVE-2021-44228）検査機能の提供を終了いたしました。