報道されているApache Log4jの脆弱性について
セキュリティー
平素は弊社商品をご愛用いただき誠にありがとうございます。
The Apache Software Foundationが提供するLog4j(Javaベースのロギングライブラリ)において、脆弱性があるとの発表がございました。現在、弊社商品の影響調査を進めており、対象商品、対策につきましては随時情報を下記に公開いたします。
更新情報
2021/12/22
本ページを公開
弊社サービスへの影響
サービス | 影響の有無 | 備考 |
---|---|---|
キキNavi | 影響なし(対策完了) | ネットワーク商品のリモート管理サービス |
みまもり合図 | 影響なし | HDD・SSD商品の故障予測サービス |
Webアクセス | 影響なし | NAS・ルーター商品に搭載されているファイル共有サービス |
i-フィルター | 影響なし | ルーター商品に搭載されている有害サイトフィルタリングサービス |
ネット脅威ブロッカー | 影響なし | ルーター商品に搭載されているセキュリティサービス |
バッファローDDNS | 影響なし | ルーター商品に搭載されているDDNSサービス |
FREESPOT | 影響なし | 公衆無線LANサービス |
弊社商品への影響
商品 | 影響の有無 |
---|---|
NAS (TeraStation、LinkStation) |
影響なし |
管理者機能搭載アクセスポイント (AirStation Pro) |
影響なし |
スイッチ BS-GS20シリーズ、BS-GS20Pシリーズ、BS-GS20P/HPシリーズ、BS-GSL20シリーズ、BS-G3024MR |
影響なし |
PoEインジェクター BS-POE-G2116M、BSL-PS-G2116M |
影響なし |
Trend Micro USB Security™搭載USBメモリー | 影響なし |
Wi-Fiルーター (AirStation) |
影響なし |
おもいでばこ PD-100、PD-1000、PD-1000S |
影響なし |
スマートフォン用CDレコーダー (ラクレコ) |
影響なし |
当該脆弱性の影響が明確になった商品については、本ページを更新してお知らせいたします。
CVE-ID
CVE-2021-44228
CVE-2021-45046
CVE-2021-45105
脆弱性の説明
Log4jには、ログに記載された文字列から一部の値を変数として評価するLookup機能が実装されています。そのLookup機能の内、JNDI Lookup機能を悪用することにより、ログに含まれる外部のURLもしくは内部パスからJavaのクラス情報をデシリアライズして実行してしまう問題があります。
脆弱性のもたらす脅威
遠隔の攻撃者により、システム上で任意のJavaコードが実行される可能性があります。
また、悪意のある入力データを作成することにより、特定のデフォルト設定以外ではサービス拒否攻撃(DoS)を実行される可能性があります。
参考情報
Japan Vulnerability Notes
以上