** 更新:2021/12/22 更新 ************
2021年12月18日に、3つ目の脆弱性がCVE-2021-45105として公開されました。
本件の対応も含めたfossid-ort パッケージ(v21.2.3)をリリースしております。
先日リリースしましたfossid-ort パッケージ(v21.2.1, 21.2.2)は本件の対応が含まれていないため
fossid-ort パッケージ(v21.2.1, 21.2.2)をインストールされた場合、v21.2.3へのバージョンアップを
お願いいたします。ダウンロードサイトのパッケージは更新済みです。
************************************
** 更新:2021/12/20 更新 ************
2021年12月17日には、もうひとつの脆弱性(CVE-45046として12月14日に公開)の
CVSSスコアが3.7 (Limited)から9.0 (Critical)に変更されました。
本件の対応も含めたfossid-ort パッケージ(v21.2.2)をリリースしております。
先日リリースしましたfossid-ort パッケージ(v21.2.1)は本件の対応が含まれていないため
fossid-ort パッケージ(v21.2.1)をインストールされた場合、v21.2.2へのバージョンアップを
お願いいたします。
************************************
2021年12月10日に、Apache Log4jに任意のコード実行の脆弱性が確認されました。
JPCERT:https://www.jpcert.or.jp/at/2021/at210050.html
NIST :https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Java開発でよく利用されるロギングフレームワークのこの脆弱性は、CVE-2021-44228として
登録され、CVSSスコア10の重大な問題に分類されています。
FossIDのご利用において影響を受けるケース、および対処方法をご案内いたします。
Apache Log4j脆弱性の影響を受けるケース
依存性解析機能が設定されたFossID WebAppに影響を及ぼします。
依存性解析機能を設定していないFossiD WebAppはこの脆弱性の影響を受けません。
FossID WebAppは、オプションで設定された依存性解析機能のために、ORT
(Open source review toolkit)と呼ばれるサードパーティー製のツールを利用しています。
このORTが今回の脆弱性の影響を受けるものとなります。
お使いのWebAppにORTが含まれているかどうかは以下のステップで確認できます。
- WebAppにログインし、[システムユーティリティ] > [システム情報] > グローバルシステムチェックの実施] > [実行]により、システムチェックの結果が表示されるまで待ちます。
- 「4. 依存性解析の検証」の部分の結果を確認します。
- 結果に「OSS Review Toolkit」のバージョン情報が表示されていれば、依存性解析機能が設定されておりORTが含まれています。
脆弱性の対処方法
FossID WebAppに依存性解析機能が設定されている場合には、お使いのWebAppの
バージョンに応じて、以下の対処をお願いいたします。
■FossID WebApp バージョン21.2.2以降をお使いの場合
ダウンロードサイトから fossid-ort パッケージ(v21.2.3) をダウンロードして
通常のインストラクションにしたがいインストールしてください。
■FossID WebApp バージョン21.2.1かそれ以前をお使いの場合
以下のコマンドを実行し、クラスパスから JndiLookup クラスを削除します。
- cd /fossid/lib/ort/
- sudo zip -q -d lib*/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Apache Log4jの脆弱性について
本脆弱性についてより詳しく知りたい場合は、こちらのブログもご参照ください。
