Apache Log4jの脆弱性(CVE-2021-44228)に関するDAL製品の影響について
拝啓 貴社ますますご盛栄のことと慶び申し上げます。平素は格別のお引き立てをいただき、厚く御礼申し上げます。 さて、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリであるApache Log4j の脆弱性(CVE-2021-44228)に対するアップデートが公開されましたので、弊社製品の影響について下記のとおりご案内申し上げます。
記
【脆弱性対象となるバージョン】
CVE-2021-44228
Apache Log4j 2.15.0より前の2系のバージョン
参考(外部サイト)
・IPA(Apache Log4j の脆弱性対策について(CVE-2021-44228)): https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
・JPCERT/CC(Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起): https://www.jpcert.or.jp/at/2021/at210050.html
また、以下の製品は、脆弱性の影響がないことを確認しております。 各製品に同梱しているlog4jのバージョンはApache log4j-1.2.7であり、脆弱性の対象バージョンとは異なる、あるいはWindows製品のため影響は受けません。
<製品> ACMS Apex ACMS B2B、ACMS B2B LE ACMS E2X RACCOON AnyTran、AnyTran Desktop、AnyTran LE ACMS Lite Neo ACMS/WS ACMS WebAgent OCRtran
<オプション> ACMS Apex、ACMS B2Bの各オプションについて影響の有無をご報告します。
●ACMS Web/deTradeII 本脆弱性の対象となるApache Log4jを同梱していないため影響を受けません。
●ACMS WebFramer ・バージョン1.7.0~1.8.0 Apache Log4jの脆弱性の対象となるライブラリを含んでいます。 以下の2つのフォルダーに含まれるライブラリの削除をお願いします。 削除方法については、最後にある(参考)をご覧ください。
1.[WebFramer管理画面(wf-mgr/wf-mgr-jee)デプロイ先]/WEB-INF/lib 配下 2.[WebFramerサーバインストール先]/lib 配下
(削除するライブラリ) log4j-1.2-api-2.13.3.jar log4j-api-2.13.3.jar log4j-core-2.13.3.jar log4j-slf4j-impl-2.13.3.jar
・バージョン1.7.0より前 Apache Log4j の脆弱性の対象となるライブラリを含んでいないため影響は受けません。
●ACMS WebFramer Webアプリケーション構築支援ツール 本脆弱性の対象となるApache Log4jを同梱していないため影響を受けません。
●ACMS WebFramer 流通BMS対応Web-EDIテンプレート 本脆弱性の対象となるApache Log4jを同梱していないため影響を受けません。
●ACMS WebFramer 電子機器業界調達業務向けWeb-EDIテンプレート 本脆弱性の対象となるApache Log4jを同梱していないため影響を受けません。
何卒、よろしくお願い申し上げます。
(参考)ACMS WebFramerバージョン1.7.0~1.8.0でのライブラリ削除の操作手順 以下の手順でTomEEおよび WebFramerの管理サーバを停止/起動してください。
■TomEEの停止 (サービス起動の場合) Windowsサービスにて「TomEEサービス」を停止 (コマンド起動の場合) [Tomcat_HOME]/bin/shutdown (または shutdown.bat)
■WebFramer管理サーバ機能の停止 (サービス起動の場合) Windowsサービスにて「WebFramerサービス」を停止 (コマンド起動の場合) cd [WEBFRAMER_HOME]/bin ./stop-server (または stop-server.bat)
■ライブラリを削除
■WebFramer管理サーバ機能の起動 (サービス起動の場合) Windowsサービスにて「WebFramerサービス」を起動 (コマンド起動の場合) cd [WEBFRAMER_HOME]/bin ./run-server & (またはrun-server.bat)
■TomEEの起動 (サービス起動の場合) Windowsサービスにて「TomEEサービス」を起動 (コマンド起動の場合) [Tomcat_HOME]/bin/startup (または startup.bat)
以上
【お問い合わせ】
株式会社データ・アプリケーション 営業本部
TEL:03-6370-0909 Email:sales@dal.co.jp
|