Apache Log4j の脆弱性(CVE-2021-44228)に関するご案内

** 更新:2021/12/22 更新 ************
2021年12月18日に、3つ目の脆弱性がCVE-2021-45105として公開されました。

本件の対応も含めたfossid-ort パッケージ(v21.2.3)をリリースしております。
先日リリースしましたfossid-ort パッケージ(v21.2.1, 21.2.2)は本件の対応が含まれていないため
fossid-ort パッケージ(v21.2.1, 21.2.2)をインストールされた場合、v21.2.3へのバージョンアップを
お願いいたします。ダウンロードサイトのパッケージは更新済みです。
************************************

** 更新:2021/12/20 更新 ************
2021年12月17日には、もうひとつの脆弱性(CVE-45046として12月14日に公開)の
CVSSスコアが3.7 (Limited)から9.0 (Critical)に変更されました。

本件の対応も含めたfossid-ort パッケージ(v21.2.2)をリリースしております。
先日リリースしましたfossid-ort パッケージ(v21.2.1)は本件の対応が含まれていないため
fossid-ort パッケージ(v21.2.1)をインストールされた場合、v21.2.2へのバージョンアップを
お願いいたします。
************************************

2021年12月10日に、Apache Log4jに任意のコード実行の脆弱性が確認されました。
JPCERT:https://www.jpcert.or.jp/at/2021/at210050.html
NIST :https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Java開発でよく利用されるロギングフレームワークのこの脆弱性は、CVE-2021-44228として
登録され、CVSSスコア10の重大な問題に分類されています。

FossIDのご利用において影響を受けるケース、および対処方法をご案内いたします。

Apache Log4j脆弱性の影響を受けるケース

依存性解析機能が設定されたFossID WebAppに影響を及ぼします。
依存性解析機能を設定していないFossiD WebAppはこの脆弱性の影響を受けません。

FossID WebAppは、オプションで設定された依存性解析機能のために、ORT
(Open source review toolkit)と呼ばれるサードパーティー製のツールを利用しています。
このORTが今回の脆弱性の影響を受けるものとなります。

お使いのWebAppにORTが含まれているかどうかは以下のステップで確認できます。

  1. WebAppにログインし、[システムユーティリティ] > [システム情報] > グローバルシステムチェックの実施] > [実行]により、システムチェックの結果が表示されるまで待ちます。
  2. 「4. 依存性解析の検証」の部分の結果を確認します。
  3. 結果に「OSS Review Toolkit」のバージョン情報が表示されていれば、依存性解析機能が設定されておりORTが含まれています。

脆弱性の対処方法

FossID WebAppに依存性解析機能が設定されている場合には、お使いのWebAppの
バージョンに応じて、以下の対処をお願いいたします。

■FossID WebApp バージョン21.2.2以降をお使いの場合
ダウンロードサイトから fossid-ort パッケージ(v21.2.3) をダウンロードして
通常のインストラクションにしたがいインストールしてください。

■FossID WebApp バージョン21.2.1かそれ以前をお使いの場合
以下のコマンドを実行し、クラスパスから JndiLookup クラスを削除します。

  1. cd /fossid/lib/ort/
  2. sudo zip -q -d lib*/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Apache Log4jの脆弱性について

本脆弱性についてより詳しく知りたい場合は、こちらのブログもご参照ください。

企業向けSBOMガイドのご提供

「SBOMの導入によるライセンス コンプライアンスと ソフトウェア セキュリティの強化」 企業向けSBOMガイドの資料を提供しています。

SBOM導入ガイド