Apache log4jの公式声明

最近、Apache Webサーバーソフトウェアの潜在的なセキュリティ問題について読んだことがあるかもしれません。ご存知かもしれませんが、UcamcoはIntegr8torとiamcamワークフローソリューションの両方でApacheを使用しています。 当社のソフトウェア製品の安全性とセキュリティに深い関心を持っているため、この問題を詳細に調査し、その結果をお知らせします。 

log4jモジュールを使用したこのApacheの脆弱性CVE-2021-44228の性質を徹底的に分析した後、Ucamcoは、Integr8torおよびiamcam製品の標準インストールはこの脆弱性の影響を受けないと述べています。 この問題は、log4jモジュールの特定のバージョンのJNDI機能に関連しており、Ucamcoはワークフロー製品でJNDI機能を使用していません。 さらに、影響を受けるバージョンのApacheモジュールは、お客様のソフトウェアリリースに導入されたことはありません。 したがって、Integr8torまたはiamcam製品は安全であり、完全に自信を持って使用し続けることができます。

脆弱性の説明：

Apache Log4j2 <= 2.14.1構成、ログメッセージ、およびパラメーターで使用されるJNDI機能は、攻撃者が制御するLDAPおよびその他のJNDI関連のエンドポイントから保護しません。 ログメッセージまたはログメッセージパラメータを制御できる攻撃者は、メッセージルックアップ置換が有効になっている場合、LDAPサーバーからロードされた任意のコードを実行する可能性があります。 log4j 2.15.0以降、この動作はデフォルトで無効になっています。 以前のリリース（> 2.10）では、この動作はシステムプロパティ「log4j2.formatMsgNoLookups」を「true」に設定することで軽減できます。以前のリリース（<2.10）では、クラスパスからJndiLookupクラスを削除することで軽減できます（例：zip- q -dlog4j-core-*。jarorg / apache / logging / log4j / core / lookup / JndiLookup.class）。