Apache Log4j の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) への対応

脆弱性の概要

2021年12月10日に、Javaベースのシステムで広く利用されているロギングライブラリ Apache Log4j の深刻な脆弱性CVE-2021-44228（通称：Log4Shell）に関する情報が公開されました。

• Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起  (JPCERT)
• NVD – CVE-2021-44228 (NIST)

この脆弱性が悪用されると、遠隔の第三者が細工したデータを送信することで、任意のコードを実行される可能性があります。

Apache Log4j のCVE-2021-44228への対策が不十分だったために新たな脆弱性CVE-2021-45046が発見され、脆弱性に関する情報が公開されました。

• NVD – CVE-2021-45046 (NIST)

Apache Log4j のCVE-2021-45046への対策が不十分だったために新たな脆弱性CVE-2021-45105が発見され、脆弱性に関する情報が公開されました。

• NVD – CVE-2021-45105 (NIST)

弊社での対応状況

弊社では本脆弱性情報を確認した直後より、その影響の甚大さから、弊社が提供するすべてのサービスおよび弊社運営のウェブサイトにおける影響範囲の調査を即座に開始し、対応を進めて参りました。

弊社が管理するサーバーのうち、本脆弱性の影響を受けるサーバーについては、JPCERT や NIST の提供するセキュリティ情報などに基づいてライブラリのアップデートを行いました。2021年12月13日18時24分までに弊社が運用するサービス（Backlog、Cacoo、Typetalk）においてCVE-2021-44228の対応が完了しております。

2021年12月16日16時00分までに弊社が運用するサービス（Backlog、Cacoo、Typetalk）においてCVE-2021-45046の対応が完了しております。

2021年12月20日15時47分までに弊社が運用するサービス（Backlog、Cacoo、Typetalk）においてCVE-2021-45105の対応が完了しております。

サービスへの影響

現時点で把握している本脆弱性の影響範囲からは、弊社が管理する全てのサーバーに対して攻撃が成功しないことを確認しております。
また、本脆弱性を利用した攻撃が成功した形跡は確認できませんでした。

エンタープライズ版について

2021年12月16日にBacklogのエンタープライズ版およびCacooのエンタープライズ版をご利用されているお客様には、準備ができ次第、ご担当者様宛にメールでCVE-2021-44228に関するアップデートのご連絡を差し上げます。ご連絡を差し上げました。メールボックスをご確認ください。

Backlogのエンタープライズ版およびCacooのエンタープライズ版をご利用されているお客様には、準備ができ次第、ご担当者様宛にメールでCVE-2021-45046およびCVE-2021-45105に関する追加のアップデートのご連絡を差し上げます。

本脆弱性については引き続き情報収集と、必要に応じた対応を実施して参ります。今後の対応状況は随時こちらのブログを更新してご報告いたします。

各サービスの対応状況について

Backlog（ASP版）

2021年12月13日にCVE-2021-44228の対応が完了しました。

2021年12月16日にCVE-2021-45046の対応が完了しました。

2021年12月20日にCVE-2021-45105の対応が完了しました。

Backlog（エンタープライズ版）

2021年12月16日にCVE-2021-44228に対応したアップデートの準備ができ、ご契約の担当者様にアップデートのご案内メールをお送りしました。

CVE-2021-45046およびCVE-2021-45105に対応したアップデートを準備しております。準備ができ次第、ご担当者様宛にメールでアップデートのご連絡を差し上げます。

Cacoo（ASP版）

2021年12月13日にCVE-2021-44228の対応が完了しました。

2021年12月16日にCVE-2021-45046の対応が完了しました。

2021年12月20日にCVE-2021-45105の対応が完了しました。

Cacoo（エンタープライズ版）

2021年12月16日にCVE-2021-44228に対応したアップデートの準備ができ、ご契約の担当者様にアップデートのご案内メールをお送りしました。

CVE-2021-45046およびCVE-2021-45105に対応したアップデートを準備しております。準備ができ次第、ご担当者様宛にメールでアップデートのご連絡を差し上げます。

Typetalk

2021年12月13日にCVE-2021-44228の対応が完了しました。

2021年12月16日にCVE-2021-45046の対応が完了しました。

2021年12月20日にCVE-2021-45105の対応が完了しました。

2021年12月17日 追記

1. Backlogのエンタープライズ版およびCacooのエンタープライズ版のアップデートが準備できましたので、ご担当者様宛にメールでご連絡を差し上げました。メールボックスをご確認ください。
2. 各サービスの対応状況について追記しました。
3. 脆弱性の概要、弊社での対応状況、各サービスの対応状況にCVE-2021-45046に関する対応状況を追記しました。

2021年12月21日 追記

1. 脆弱性の概要、弊社での対応状況、各サービスの対応状況にCVE-2021-45105に関する対応状況を追記しました。