2021年12月24日
お知らせ
お知らせ
GroupSession
GroupSessionスタッフからのお知らせ
【続報】Apache Log4jの脆弱性に関するお知らせ(2021-12)
当社製品をご愛顧いただきまして、誠にありがとうございます。
GroupSessionで使用しているライブラリ(Apache Log4j)にて発生している脆弱性についてお知らせがございます。
現在、最新の無料版GroupSession Ver5.13で利用しているApache Log4jのバージョンはVer2.15.0となっております。
このバージョンには以下の脆弱性が含まれております。
| 概要情報 | 脆弱性がもたらす脅威 |
|---|---|
| CVE-2021-45046 | 任意のコードを実行される脆弱性 |
| CVE-2021-45105 | サービス拒否(DoS)攻撃を受ける可能性のある脆弱性 |
上記脆弱性について弊社にて調査いたしました結果、
サービスごとの影響については以下の通りでございました。
| サービス | CVE-2021-45046 | CVE-2021-45105 |
|---|---|---|
| 無料版 | 影響なし | 影響なし |
| ZION | 影響なし | 影響なし |
| byCloud※ | 影響あり | 影響あり |
※byCloudはすでに脆弱性対応版であるVer2.17.0へのアップデートを行っております。
無料版、ZIONにおいては「CVE-2021-45046(任意のコードの実行)」、
「CVE-2021-45105(サービス拒否攻撃の脆弱性)」のいずれも影響なしとなります。
そのため、本脆弱性についての緊急性はそこまで高くないと判断し、
緊急リリースは行わずに、今後の通常バージョンアップリリースで対応を進めていく予定でございます。
次期バージョンのリリースまでにはお時間をいただくことになりますので、
念のためライブラリのバージョンアップをご希望の方に関しては、
別途パッチファイルをご用意させていただきました。
Ver4.9.9以上であれば本ライブラリの動作確認がとれておりますので、
以下の手順でライブラリのバージョンアップをご検討いただければと存じます。
対処方法
※v4.9.9未満の場合は弊社にて動作確認が取れておりませんのでご注意ください。
・追加パッチのダウンロード
log4j2.17.0追加ライブラリ
————-手順————–
1.Tomcatを停止する
※グループウェアにアクセスできなくなります。
2.旧ライブラリを削除する
・下記のライブラリフォルダに移動
{GSessionインストールフォルダ}/gsession/WEB-INF/lib/
例)C:\Program Files\Apache Software Foundation\Tomcat 9.0\webapps
・削除ファイル
log4j-api-2.14.0.jar
log4j-core-2.14.0.jar
log4j-jcl-2.14.0.jar
log4j-slf4j-impl-2.14.0.jar
log4j-web-2.14.0.jar
※削除ファイルのバージョンは2.15.0、2.14.0のいずれかになります。
3.ダウンロードしたファイルをライブラリフォルダに追加する
・追加ファイル
log4j-api-2.17.0.jar
log4j-core-2.17.0.jar
log4j-jcl-2.17.0.jar
log4j-slf4j-impl-2.17.0.jar
log4j-web-2.17.0.jar
4.Tomcatを起動する
お問い合わせ窓口
GroupSessionサポート
メールアドレス:gsession@sjts.co.jp
受付時間:9:00 – 18:00