注:OPSWAT 、追加情報が入り次第、このブログ記事を更新し続けている。
アップデート - デc.24, 2021 - 12:30 pm est
我々は、CVE-2021-44228を取り巻く更新と開発を監視し続ける中で、Apache Log4j2のバージョン2.0-alpha1から2.16.0(2.12.3を除く)が、サービス拒否を引き起こす可能性のある自己参照ルックアップからの制御されない再帰から保護されない可能性があることを示す、CVE 2021-45105で概説された最近のガイダンスを認識しています。
現時点では、このアップデートによって、CVE 2021-44228に関して現在公表または通知されている緩和策が変更されるとは評価していません。
変更が発生した場合、または評価が変更された場合は、引き続きブログでお知らせします。
その他、ご質問やご不明な点がございましたら、サポートチャンネルまでお問い合わせください。
アップデート - デc.15日午後5時(東部標準時
私たちは、CVE-2021-44228 を取り巻く更新と進展を監視し続けていますが、CVE 2021-45046 で概説された、特定のデフォルトでない構成における Apache log4j 2.15.0 の不完全な修正に対処する最近のガイダンスについて認識しています。
現時点では、CVE 2021-44228に関して現在公開されている緩和策に変更があるとは評価していません。
変更が発生した場合、または評価が変更された場合は、引き続きブログでお知らせします。
その他、ご質問やご不明な点がございましたら、サポートチャンネルまでお問い合わせください。
更新 - 2021年12月14日 - 2 PM EST
OPSWAT は、log4jの脆弱性の影響を受ける可能性のあるすべてのOPSWAT 製品の完全な分析を完了し、OPSWAT 製品またはサービスの安全な使用に影響を与える暴露は確認されていません。
MetaDefender AccessCloud、My OPSWAT、MetaDefender NAC お客様には、製品の推奨事項や構成についてお知らせし、このブログで更新しています。現時点では、製品の推奨事項や構成が他の製品に適用されることはありません。
その他、ご質問やご不明な点がございましたら、サポートチャンネルまでお問い合わせください。
更新 - 2021年12月13日 - 5 PM EST
私たちは、OPSWAT のすべてのテクノロジーとパッケージをレビューし、このエクスプロイトに対する潜在的な脆弱性がないかどうかを確認しています。
My OPSWAT (OCM)がApache log4jライブラリを依存関係の1つとして使用していることが判明しましたが、OPSWAT 、現時点ではOPSWAT 製品やサービスの安全な使用に影響を与えるようなlog4jの脆弱性への暴露は確認されていないことに留意してください。
OCMのバージョン7.16またはそれ以前を 実行しているお客様には、バージョン7.17またはそれ以降にアップグレードし、この特定のエクスプロイトと、将来的にJNDI関連のlog4j機能をターゲットにするかもしれない他のエクスプロイトを軽減するために、推奨される設定変更を適用 することをお勧めします。緩和のための設定変更の手順は、このナレッジベースの記事に記載されています。
ご不明な点がございましたら、カスタマーポータルにてサポートケースを作成し、お知らせください。
変更が生じた場合、評価が変更された場合は、引き続き電子メールとブログでお知らせします。
更新 - 2021年12月13日 - 12 PM EST
CVE-2021-44228(別名log4jの脆弱性)に関して我々が取っている措置に関する2021年12月12日の更新以来、我々はすべてのOPSWAT テクノロジーとパッケージを積極的にレビューし、このエクスプロイトに対して潜在的に脆弱なものがあるかどうかを判断している。
以下は、log4jエクスプロイトのリスクを軽減するために私たちがすでに取った措置です:
- MetaDefender AccessCloudです:攻撃者が脆弱なサーバーを制御することを可能にするApache log4jロギングライブラリに発見されたゼロデイ脆弱性(CVE-2021-44228)のため、私たちは、慎重を期して、この特定のエクスプロイトおよび将来的にJNDI関連のLog4j機能をターゲットにするかもしれない他のエクスプロイトの可能性を低減する推奨される設定変更を適用しました。これ以上の対策は必要ありません。これは、ユーザーへの影響なく完了しました。
他のOPSWAT 技術やパッケージが潜在的に脆弱である可能性があると判断した場合、必要な構成の変更または更新と同様に、影響を受けるすべての顧客にその旨を通知します。
この更新の時点で、OPSWAT 、現時点では、OPSWAT の製品またはサービスの安全な使用に影響を与えるような log4j の脆弱性への暴露は確認されていないことに留意してください。
この評価が変更された場合は、影響を受けるお客様に直接更新します。
この特定の脆弱性についてもっと知りたい場合は、NISTの報告書に加えて、SANS Internet Storm CenterがSANS Internet Storm Centerで包括的な概要を発表しています。我々は、米国東部標準時の午後5時にレビューのアップデートを提供する予定です。
更新-2021年12月12日 - 9:45 PM EST
2021年12月10日(金)、log4jと呼ばれるjavaベースのソフトウェアの一般的なコンポーネントにおいて、これまで知られていなかったゼロデイ脆弱性(CVE-2021-44228)が積極的に悪用されているというニュースを、他の技術コミュニティとともに受け取った。
この通知以降、私たちはOPSWAT のすべてのテクノロジーとパッケージを積極的にレビューし、このエクスプロイトに対する潜在的な脆弱性がないかどうかを確認しています。このレビューは継続されており、OPSWAT の技術やパッケージが脆弱である可能性があると判断した場合には、影響を受けるすべてのお客様にその旨を通知するとともに、必要な設定の変更やアップデートを行いますので、ご了承ください。
私たちはできる限り迅速にこのレビューに取り組んでいます。現時点では、OPSWAT は、OPSWAT 製品の安全な使用に影響を与えるような log4j の脆弱性への重大な暴露を評価していないことに注意することが重要です。この評価が変更された場合、私たちは、影響を受ける顧客を直接更新します。
12月13日12:00PM(米国東部時間)にレビューの更新を行います。それまでにご不明な点やご質問がございましたら、サポート・チャンネルまでご連絡ください。
この特定の脆弱性についてさらに詳しく知りたい場合は、NISTの報告書に加え、SANS Internet Storm Centerが包括的な概要をSANS Internet Storm Centerで公開している。
今後ともお引き立てのほど、よろしくお願いいたします!
