2021年12月14日
お知らせ
お知らせ
GroupSession
GroupSessionスタッフからのお知らせ
GroupSessionお知らせ
Apache Log4j の脆弱性について(2021-12)
当社製品をご愛顧いただきまして、誠にありがとうございます。
GroupSessionで使用しているライブラリ(Apache Log4j)にて以下脆弱性が判明いたしました。
最新版ver5.1.3へのバージョンアップをご検討いただけますようお願い申し上げます。
お客様に大変ご迷惑をおかけしますことを深くお詫び申し上げます。何卒ご理解とご協力を賜りますようお願い申し上げます。
影響範囲
GroupSession 無料版 ver4.6.0 から ver5.1.2より前のバージョン
GroupSession ZION ver4.6.0 から ver5.1.2より前のバージョン
※byCloudは12月13日の緊急メンテナンスで対応済みです。
※ZIONユーザへは個別でメールにて案内済みです。
| 概要情報 | 脆弱性がもたらす脅威 |
|---|---|
| CWE-20 | 第三者が細工したデータを送る事で、任意のコマンドを実行される可能性 |
対処方法
①ver5.1.3以降へバージョンアップをしてください。
GroupSession ver5.1.3ダウンロード(無料版)
追記 2021.12.15 11:30
②バージョンアップできないお客様向け
v4.6.0以降であればライブラリファイルを置き換えるのみで対応可能でございます。
・追加パッチのダウンロード
log4j追加ライブラリ
————-手順————–
1.Tomcatを停止する
※グループウェアにアクセスできなくなります。
2.旧ライブラリを削除する
・下記のライブラリフォルダに移動
{GSessionインストールフォルダ}/gsession/WEB-INF/lib/
例)C:\Program Files\Apache Software Foundation\Tomcat 9.0\webapps
・削除ファイル
log4j-api-2.14.0.jar
log4j-core-2.14.0.jar
log4j-jcl-2.14.0.jar
log4j-slf4j-impl-2.14.0.jar
log4j-web-2.14.0.jar
※削除ファイルは2.14.0と2.3の場合がございます。
3.ダウンロードしたファイルをライブラリフォルダに追加する
・追加ファイル
log4j-api-2.15.0.jar
log4j-core-2.15.0.jar
log4j-jcl-2.15.0.jar
log4j-slf4j-impl-2.15.0.jar
log4j-web-2.15.0.jar
4.Tomcatを起動する
お問い合わせ窓口
GroupSessionサポート
メールアドレス:gsession@sjts.co.jp
受付時間:9:00 – 18:00
参考情報:Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html