結論:Apache Log4j(バージョン2.x<=2.14.1)の脆弱性問題CVE-2021-44228について、FineReportの検証を行いました。検証の結果、Apache log4j 2脆弱性はFineReport11.0に影響がないことが確認されました。
一.説明
Apache Log4j2の脆弱性問題CVE-2021-44228関する説明は以下のようになります。
| 脆弱性問題説明 | 該当するLog4jライブラリを利用しているバージョン |
|---|---|
この脆弱性の影響で、リモートで任意のコードが実行され、認証されていない攻撃者から標的のシステムに完全にアクセスできる可能性があります。 この脆弱性は、特別に細工された文字列がLog4j 2 コンポーネントによって解析および処理される際に、トリガーされることによって発生します。そして、ユーザーが提供するあらゆる入力によって発生する可能性があります。 | 2.x<=2.14.1 |
| 製品 | Log4jバージョン | 影響の有無 |
|---|---|---|
FineReport | 1.2.17 | なし |
脆弱性問題CVE-2021-44228の詳細について、以下の内容を参照してください。
Apache CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-44228
Apache security advisory:https://logging.apache.org/log4j/2.x/security.html
Apache Log4j 2に任意コード実行の脆弱性があると公表されていますが、FineReportに検証した結果、脆弱性に影響されないことが確認されました。
1.FineReport本体は、脆弱性が検出されていないLog4j 1.2.17バージョンを使用しているため、影響がありません。
2.テスト環境で攻撃を試行したところ、攻撃ができないことが確認されました。
3.ただし、一部プラグインではLog4j 2を使用しているため、早急に対処する必要があります。下記の項目をご参照ください。
二.問題あるプラグイン
以下のプラグインをご利用のお客様には、弊社の営業担当より連絡いたします。
プラグイン | 長期対処 | 長期対処 |
「ファイルアップロード&ダウンロード - Advance version」
注:「ファイルアップロード&ダウンロード」(通常バージョン)は該当するLog4jバージョンを利用しておりませんので、対象外。 | プラグインの削除又は最新バージョンへアップデートします。
| 1. jvm起動オプションを追加します: -Dlog4j2.formatMsgNoLookups=true 2. 11.0.1、8u191、7u201、6u211 以上のjdkを使用します。 3. OSの環境変数で 「FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS」を「true」に設定します。 4. 最新バージョンのプラグインをインストールするまで、問題ある製品のインターネットアクセスを切断します。 |
Elasticsearchデータセット-Advance version | ||
Elasticsearchデータセット |
この問題についてご不明な点がございましたら、弊社営業或いはQAサポートポータルまでご連絡ください。
お問い合わせ:https://www.value-ict.co.jp/jp/contact/
TEL.03-5817-8961
FAX.03-5817-8962
