弊社Webフィルタリング製品「WebTitan Cloud」「Spamtitan」の供給元メーカーであるTitanHQは、 「Apache Log4j2 のゼロデイ脆弱性についての重要なお知らせ」を更新しました。

Apache Log4j2 のゼロデイ脆弱性についての重要なお知らせ

2021年12月9日、Apacheは、商用およびオープンソースソフトウェア製品で広く使用されているJavaベースのロギングフレームワークであるApache Log4j2に影響を及ぼすリモートコード実行の脆弱性「CVE-2021-44228」を公表しました。

脆弱性の詳細

Apache
Log4j2 ライブラリは、世界的に最も広く使用されている Java ベースのロギングユーティリティの 1
つです。一般的なソフトウェアやハードウェアのプラットフォームで広く使用されているため、多数のサードパーティアプリが攻撃され、悪用される可能性があります。
 

• CVE-2021-44228:
  Log4j2 の 2.15 より前のバージョンには、カプセル化された Java Naming and Directory Interface
  (JNDI) リクエストを通して、悪意のあるアクターが任意のリソースにアクセスできる脆弱性が存在します。

• CVE-2021-45046: CVE-2021-44228 と似ていますが、Log4j2 バージョン 2.15.0 にのみ影響し、悪意のある行為者がホストサーバー上でサービス拒否 (DOS) 攻撃を開始することが可能です。

Apache
Log4j2
ライブラリの広がりを考えると、このゼロデイエクスプロイト(脆弱性を悪用して、修正パッチの適用が広まる前に行われる攻撃)の影響は非常に深刻です。TitanHQのソリューションに関しては、当社のどの製品にもこの影響を受けるコンポーネントは使用されていません。しかしながら、現在も状況は流動的であるため、私たちは引き続き新しい展開を監視し、必要に応じてお客様に状況のアップデートとガイダンスを提供します。

電子メールやウェブセキュリティに関するご相談は、TitanHQ社製品の日本国内販売会社である弊社製品担当者までお気軽にお問い合わせください。