脆弱性の概要

オープンソースのロギングライブラリ「Apache Log4j」に、任意のコード実行の脆弱性(CVE-2021-44228)があることが発表されました。

※JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html

この脆弱性は文字通り、第三者がリモートからApach Log4jを利用しているサーバー上で任意のコードを実行できるというものです。

VAddyの対応状況

弊社では本脆弱性情報が公開された2021年12月10日よりVAddyサービスへの本脆弱性の影響の調査を開始し、VAddy検査サーバー/プロキシサーバー/Webサーバーおよび弊社が提供するツール等において本脆弱性の影響を受けないことを確認しております。

それと同時に、VAddy Enterpriseプランで提供しているSSRF機能のオプションとしてLog4j検査機能の実装を開始し、2021年12月13日よりVAddy Enterpriseプランをご利用のお客様向けに提供を開始しています。

・プレスリリース
https://vaddy.net/ja/release/20211213.html

また、お客様がご利用されるVAddy管理コンソールに導入されているクラウド型WAF「Scutum」においても、本脆弱性を狙った攻撃への防御機能は実装されています。

・プレスリリース
https://www.scutum.jp/topics/images/pressrelease20211213.pdf

本脆弱性については、引き続き情報収集を進めてまいります。


2022年1月12日 追記

無料トライアルを含む全てのプランにおいて、Apache Log4jの脆弱性(CVE-2021-44228)検査機能の提供を開始しました。

・プレスリリース
https://vaddy.net/ja/release/20220112.html