株式会社ソフテックは、2022年4月1日に株式会社サイバーセキュリティクラウドに吸収合併されました。詳しくはこちら。

SIDfm ブログ

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

Apache Log4j CVE-2021-44228 (Log4Shell) の影響有無リスト

2021.12.15 公開

2022.01.20 最終更新

概要

報告者によって「Log4Shell」と呼ばれている Apache Log4j の CVE-2021-44228 は、Jndi Lookup の処理に起因する脆弱性で、攻撃者にこの脆弱性を利用された場合、遠隔からシステムの制御を奪われる可能性があるものです。

Apache Log4j は Java で実装されたアプリケーションにおいて広範に使用されていることに加え、この脆弱性の悪用の容易さもあり、修正プログラムの提供前である 2021年12月9日 に実証コードが Github に公開されて以来、日本を含む世界中で攻撃が確認されています。

以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。

SIDfmRA-CVE-2021-44228

脆弱性を狙った攻撃の手法や検知状況に関しては、こちらのリンク先に詳細な解説がございますので、是非ご覧ください。

このエントリでは、SIDfm の監視対象製品が CVE-2021-44228 の影響を受けるのかどうかについてまとめた結果をお伝えします。

SIDfm の監視対象製品への影響

SIDfm の監視対象製品への影響は以下のとおりです。

なお影響の有無や被害の程度は基本的にベンダのアナウンスに基づいています。 このため「Apache Log4j の動作する JDK のバージョンが新しいから」などの理由によりこの脆弱性の影響を受けないとベンダに判定されているものも、ベンダのアナウンスどおりに記載しています。 一部の製品ではソースコードを弊社で調査し、Apache Log4j の有無によって影響を判定しているものもあります。 ベンダのアナウンスや調査したソースコードへのリンクは表の「参照」をご覧ください。

製品のステータスはベンダの追加情報などによって更新されることがあります。

A10 Networks

製品 影響 参照 更新日
A10 Networks ACOS 1 LOG4J - CVE-2021-44228, CVE-2021-45046 2021/12/20

1 AOSとしての記載はありませんが、すべての製品が影響無しであることから判定しました。

Adobe

製品 影響 参照 更新日
Adobe Acrobat Apache Log4j 2 Advisory - Product Status 2021/12/20
Adobe ColdFusion システム制御奪取 Log4j vulnerability on ColdFusion 2021/12/20
Adobe Experience Manager 1 Apache Log4j 2 Advisory - Product Status 2021/12/21
Adobe Illustrator Apache Log4j 2 Advisory - Product Status 2021/12/20
Adobe LiveCycle ES 記載無 Apache Log4j 2 Advisory - Product Status 2021/12/21
Adobe Media Server 記載無 Apache Log4j 2 Advisory - Product Status 2021/12/21
Adobe Photoshop Apache Log4j 2 Advisory - Product Status 2021/12/20
Adobe Photoshop Elements Apache Log4j 2 Advisory - Product Status 2021/12/21
Adobe Reader 記載無 Apache Log4j 2 Advisory - Product Status 2021/12/21
Adobe RoboHelp Apache Log4j 2 Advisory - Product Status 2021/12/20

1 2021/12/20 (現地時間) に「Mitigated」から「N/A (not applicable)」へ変更されました。

Amazon

製品 影響 参照 更新日
Amazon Linux AMI システム制御奪取 ALAS2-2021-1730 2021/12/17

アンテナハウス

製品 影響 参照 更新日
Antenna House Formatter Apache Log4jの任意のコード実行の脆弱性の影響を受ける製品に関して 2021/12/23

The Apache Software Foundation

製品 影響 参照 更新日
Apache Struts システム制御奪取 Security Advice on Log4j 2.15.0
17 December 2021 - Struts 2.5.28.1 General Availability
2021/12/20
Apache Solr システム制御奪取 2021-12-10, Apache Solr affected by Apache Log4J CVE-2021-44228 2021/12/17
Apache Axis2 利用確認1 update log4j2 to latest 2021/12/21
Apache Tomcat [SECURITY] Apache Tomcat and CVE-2021-44228 (Log4j vulnerability) 2021/12/17
Apache Ant Apache projects affected by log4j CVE-2021-44228 2021/12/17
Apache CloudStack CloudStack Advisory on Apache Log4j Zero Day (CVE-2021-44228) 2021/12/17
Apache Hadoop Apache projects affected by log4j CVE-2021-44228 2021/12/17
Apache HTTP Server (httpd) Apache projects affected by log4j CVE-2021-44228 2021/12/17
Apache Maven Apache projects affected by log4j CVE-2021-44228 2021/12/17
Apache Subversion Apache projects affected by log4j CVE-2021-44228 2021/12/17
Apache ZooKeeper Apache projects affected by log4j CVE-2021-44228 2021/12/17
Apache Commons Collections 未使用 commons-compress/pom.xml 2021/12/21
Apache Commons Compress 未使用 commons-collections/pom.xml 2021/12/21
Apache Commons Configuration 2 commons-configuration/pom.xml 2021/12/21
Apache Commons Email 未使用 commons-email/pom.xml 2021/12/21
Apache Commons FileUpload 未使用 https://github.com/apache/commons-fileupload/search?q=log4j 2021/12/21
Apache Commons Imaging 未使用 https://github.com/apache/commons-imaging/search?q=log4j 2021/12/21
Apache Commons Jelly 2 https://github.com/apache/commons-jelly/search?q=log4j 2021/12/21
Apache Flume 利用確認 FLUME-3395: Update log4j2 dependency 2021/12/21
Apache HBase 利用確認 HBASE-26557 log4j2 has a critical RCE vulnerability 2021/12/21
Apache James システム制御奪取 JAMES-3683 log4j 2.14.1 -> 2.15.0 to address CVE-2021-44228 2021/12/23
Apache Mahout 2 Log4j, CVE-2021-44228, and Mahout 2021/12/23
Apache ManifoldCF 利用確認 CONNECTORS-1683: Update to Log4j 2.15.0 2021/12/21
Apache POI 利用確認 Version 5.2.0 - Upgrade Log4J dependency to 2.17.0 2021/12/21
Apache Tomcat JK Connector 未使用 https://github.com/apache/tomcat-connectors/search?q=log4j 2021/12/21

1 pom.xml に log4j2 が含まれています。
2 Apache Log4j 1.x を使用しており、影響を受けません。

Atlassian

製品 影響 参照 更新日
Confluence Data Center 1, 2 FAQ for CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105 2021/12/22
Confluence Server 1, 2 FAQ for CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105 2021/12/22

1 デフォルトでは影響せず、デフォルトのログ設定を変更し JMS Appender 機能を有効にしている場合に影響します。
2 2021/12/20 (現地時間) に、Log4j 1.2.17 のフォーク (Atlassian がメンテナンスを行っている) を使用しており CVE-2021-44228 の影響を受けない、とされました。

Broadcom

製品 影響 参照 更新日
Symantec Control Compliance Suite SYMSA19793 2021/12/17
Symantec Data Loss Prevention SYMSA19793 2021/12/17
Symantec Endpoint Protection システム制御奪取 SYMSA19793 2021/12/17
Symantec Ghost Solution Suite SYMSA19793 2021/12/17
Symantec LiveUpdate Administrator システム制御奪取 SYMSA19793 2021/12/17
Symantec Mail Security for Microsoft Exchange SYMSA19793 2021/12/17
Symantec Messaging Gateway SYMSA19793 2021/12/17

BUFFALO

製品 影響 参照 更新日
BUFFALO AirStation Pro WAPM-APG600H firmware 報道されているApache Log4jの脆弱性について 2021/12/24
BUFFALO AirStation HighPower Giga WXR-1900DHP3 firmware 報道されているApache Log4jの脆弱性について 2021/12/24

Canonical

製品 影響 参照 更新日
Ubuntu システム制御奪取 USN-5192-1
USN-5192-2
USN-5197-1
2021/12/20

The CentOS Project

製品 影響 参照 更新日
CentOS 7 CVE-2021-44228 2021/12/15

Check Point

製品 影響 参照 更新日
Security Gateway Check Point response ... 2021/12/15

Cisco Systems

製品 影響 参照 更新日
Cisco ASA Software cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Access Registrar cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco AnyConnect Secure Mobility Client cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Content Security Management Appliance cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Customer Voice Portal cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Email Security Appliance cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Emergency Responder システム制御奪取 cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco IOS cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco IOS XE cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco IOS XR cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Identity Services Engine Software システム制御奪取 cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Security Manager cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Smart Software Manager On-Prem cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Unified Communications Manager システム制御奪取 cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Unified Contact Center Express システム制御奪取 cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Unity Connection システム制御奪取 cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco Web Security Appliance cisco-sa-apache-log4j-qRuKNEbd 2021/12/15
Cisco DNA Center software システム制御奪取 cisco-sa-apache-log4j-qRuKNEbd 2021/12/17
Cisco MDS cisco-sa-apache-log4j-qRuKNEbd 2021/12/17

Citrix

製品 影響 参照 更新日
Citrix ADC CTX335705 2021/12/15
Citrix Gateway CTX335705 2021/12/15
Citrix Hypervisor CTX335705 2021/12/15
Citrix Netscaler CTX335705 2021/12/15
Citrix SD-WAN CTX335705 2021/12/15
Citrix Virtual Apps and Desktops システム制御奪取1 CTX335705 2021/12/17
Citrix Workspace app for Windows CTX335705 2021/12/15

1 LTSR でない Linux VDA にのみ影響し、Linux VDA LTSR や他の CVAD コンポーネントには影響しません。

CodeLibs Project

製品 影響 参照 更新日
Fess システム制御奪取 Fess 13.15.2 2021/12/15

Dataiku

製品 影響 参照 更新日
Dataiku DSS Dataiku 9.0 CVE 2021-44228 exposure 2021/12/17

Debian Project

製品 影響 参照 更新日
Debian GNU/Linux システム制御奪取 CVE-2021-44228 2021/12/17

Eclipse

製品 影響 参照 更新日
Eclipse 1 Eclipse and log4j2 vulnerability (CVE-2021-44228) 2021/12/17

1 Eclipse IDE for RCP and RAP Developers にのみ影響します。

Elastic

製品 影響 参照 更新日
Elasticsearch 情報漏洩1
システム制御奪取2
ESA-2021-31 2021/12/15
Logstash システム制御奪取 ESA-2021-31 2021/12/15
Kibana ESA-2021-31 2021/12/15

1 Elasticsearch 7 および 6 は Java Security Manager の使用により受ける被害は情報漏洩にとどまります。なお読み取られる情報はシステム環境変数など環境に関する情報に限られており、Elasticsearch cluster のデータを読み取られる可能性はありません。
2 Elasticsearch 5 はシステム制御奪取となります。

F-Secure

製品 影響 参照 更新日
F-Secure Anti-Virus The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Anti-Virus for Linux Gateways The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Anti-Virus for Linux Servers The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Anti-Virus for Samba Servers The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Anti-Virus for Windows Servers The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Anti-Virus for Workstation The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Internet Security The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Linuxセキュリティ コマンドライン エディション The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23
F-Secure Linuxセキュリティ フル エディション The Log4J Vulnerabilities (CVE-2021-44228 / CVE-2021-45046) – which F-Secure products are affected, what it means, what steps should you take 2021/12/23

F5 Networks

製品 影響 参照 更新日
BIG-IP K19026212 2021/12/15

Flexera

製品 影響 参照 更新日
FlexNet Publisher システム制御奪取1 Security Advisory CVE-2021-44228 2021/12/15

1 lmadmin alerts example code を使用している場合に限ります。

Fortinet

製品 影響 参照 更新日
Fortinet FortiOS (FortiGate 含む) FG-IR-21-245 2021/12/17
Fortinet FortiMail FG-IR-21-245 2021/12/17
Fortinet FortiManager FG-IR-21-245 2021/12/17
Fortinet FortiWLC FG-IR-21-245 2021/12/17

FreeRADIUS

製品 影響 参照 更新日
FreeRADIUS 2021.12.16 FreeRADIUS is NOT affected by the log4j issues 2021/12/20

Hinemos

製品 影響 参照 更新日
Hinemos Apache Log4j 脆弱性 (CVE-2021-44228) の影響について 2021/12/17

HPE

製品 影響 参照 更新日
Aruba Networks AirWave ARUBA-PSA-2021-019 2021/12/15
Aruba Networks ArubaOS ARUBA-PSA-2021-019 2021/12/15
HPE Integrated Lights-Out a00120086en_us 2021/12/17
HPE Performance Manager a00120086en_us 2021/12/17
HPE Systems Insight Manager a00120086en_us 2021/12/28

IBM

Infoblox

製品 影響 参照 更新日
Infoblox NIOS Infoblox NIOS and BloxOne products not vulnerable to CVE-2021-44228 2021/12/17

Jackson

製品 影響 参照 更新日
Jackson 未使用 https://github.com/FasterXML/jackson/search?q=log4j 2021/12/23

JaCoCo

製品 影響 参照 更新日
JaCoCo 未使用 https://github.com/jacoco/jacoco/search?q=log4j 2021/12/23

Jenkins

製品 影響 参照 更新日
Jenkins Core Apache Log4j 2 vulnerability CVE-2021-44228 2021/12/23
Jenkins Plugins システム制御奪取 JENKINS-67353 2021/12/23

JFrog

製品 影響 参照 更新日
JFrog Artifactory A critical vulnerability (CVE-2021-44228) impacting ... 2021/12/17

Juniper Networks

製品 影響 参照 更新日
Juniper Networks Junos OS JSA11259 2021/12/17
Juniper Networks ScreenOS JSA11259 2021/12/17

JUnit

製品 影響 参照 更新日
JUnit 利用確認 Upgrade log4j to 2.15.0 2021/12/23

Liferay

製品 影響 参照 更新日
Liferay Portal Community Edition システム制御奪取 Log4j2 Zero-Day Vulnerability 2021/12/17

McAfee

製品 影響 参照 更新日
McAfee Network Security Manager 非公開 SB10377 2021/12/23
McAfee VirusScan Enterprise 非公開 SB10377 2021/12/23
McAfee VirusScan for Macintosh 非公開 SB10377 2021/12/23
Mcafee Email and Web Security 非公開 SB10377 2021/12/23

Microsoft

製品 影響 参照 更新日
Microsoft Team Foundation Server システム制御奪取1 CVE-2021-44228 Apache Log4j Remote Code Execution Vulnerability
Azure DevOps (and Azure DevOps Server) and the log4j vulnerability
2021/12/22

1 Microsoft Team Foundation Server 2018 に影響します。Microsoft Team Foundation Server 2017 は影響を受けません。

NEC

製品 影響 参照 更新日
NEC CapsSuite Small Edition PatchMeister 記載無 Apache Log4jの脆弱性(CVE-2021-44228)について 2021/12/23
NEC Express5800/CS 記載無 Apache Log4jの脆弱性(CVE-2021-44228)について 2021/12/23
NEC UNIVERGE IX3315 記載無 Apache Log4jの脆弱性(CVE-2021-44228)について 2021/12/23
NEC WebSAM DeploymentManager 記載無 Apache Log4jの脆弱性(CVE-2021-44228)について 2021/12/23

MongoDB

製品 影響 参照 更新日
MongoDB 1 Log4Shell Vulnerability (CVE-2021-44228) and MongoDB 2021/12/17

1 MongoDB Atlas Search のみ影響

The MyBatis team

1 ロギング実装として Log4j 2 を利用している場合に影響します。 なお Log4j 2 は Optional Dependency のため、MyBatis のバージョンとは無関係とされています。

OSSTech

製品 影響 参照 更新日
OSSTech OpenAM Apache Log4j の脆弱性 (CVE-2021-44228) の弊社製品への影響について 2021/12/17

Oracle

製品 影響 参照 更新日
Oracle Fusion Middleware システム制御奪取 Oracle Critical Patch Update Advisory - January 2022 2022/01/20
Oracle WebLogic Server システム制御奪取 Oracle Critical Patch Update Advisory - January 2022 2022/01/20

Palo Alto Networks

製品 影響 参照 更新日
Palo Alto Networks PAN-OS システム制御奪取1 CVE-2021-44228 Impact of Log4j Vulnerability CVE-2021-44228 2021/12/17
Palo Alto GlobalProtect App CVE-2021-44228 Impact of Log4j Vulnerability CVE-2021-44228 2021/12/17

1 PAN-OS for Panorama に影響し、PAN-OS for Firewall および Wildfire には影響しません。

Parallels

製品 影響 参照 更新日
Parallels Plesk Panel Is Plesk affected by CVE-2021-44228 vulnerability in log4j package of Apache? 2021/12/17

Pexip

製品 影響 参照 更新日
Pexip Infinity Pexip Statement on Log4j Vulnerability 2021/12/17

Phusion

製品 影響 参照 更新日
Phusion Passenger Log4J Bulletin: Passenger not affected 2021/12/22

Play Framework

製品 影響 参照 更新日
Play Framework 1 Regarding the log4j2 vulnerability, CVE-2021-44228 2021/12/17

1 デフォルトでは Logback を使用するものの、カスタムログとして Log4j を使用している場合は影響を受けます。

PostgreSQL

製品 影響 参照 更新日
PostgreSQL JDBC Driver PostgreSQL JDBC and the log4j CVE 2021/12/17

PowerCMS

製品 影響 参照 更新日
PowerCMS Apache Log4j の脆弱性 (CVE-2021-44228) による影響について 2021/12/17

Progress

製品 影響 参照 更新日
Ipswitch WS_FTP Server Is WS_FTP vulnerable to CVE-2021-44228 (Log4j)? 2021/12/17
Ipswitch WhatsUp Gold Is WhatsUp Gold vulnerable to CVE-2021-44228 (Log4j)? 2021/12/17

Prometheus

製品 影響 参照 更新日
Prometheus Log4j vulnerability #10001 2021/12/17

Pulse Secure

製品 影響 参照 更新日
Pulse Connect Secure KB44933 - CVE-2021-44228 - Java logging library (log4j) 2021/12/17
Virtual Traffic Manager KB44933 - CVE-2021-44228 - Java logging library (log4j) 2021/12/17

Radware

製品 影響 参照 更新日
Radware Alteon 非公開 CVE 2021-44228, a critical Log4j vulnerability 2021/12/23
Radware DefensePro 非公開 CVE 2021-44228, a critical Log4j vulnerability 2021/12/23
Radware LinkProof 非公開 CVE 2021-44228, a critical Log4j vulnerability 2021/12/23

Red Hat

製品 影響 参照 更新日
Red Hat Enterprise Linux RHSB-2021-009 2021/12/17
Red Hat JBoss Enterprise Application Platform システム制御奪取1 RHSA-2021:5140 2021/12/17
Hibernate 2 HHH-14972 HHH-14972 bump log4j to 2.15.0 fixing an RCE (CVE-2021-44228) 2021/12/17

1 危険度は「Low」とされています

2 ビルドテストで利用

Revive

製品 影響 参照 更新日
Revive Adserver Revive Adserver not impacted by the Log4j vulnerability 2021/12/28

RSA Security

製品 影響 参照 更新日
RSA Authentication Manager RSA Customer Advisory: Apache Vulnerability | Log4j2 (CVE-2021-44228) 2021/12/17

セゾン情報システムズ

1 log4j を利用 (アプリケーションログについて)

SAP

製品 影響 参照 更新日
SAP Adaptive Server Enterprise 3129897 - CVE-2021-44228 - Log4j vulnerability - no impact on SAP Adaptive Server Enterprise (ASE) 2021/12/17
SAP BusinessObjects Business Intelligence platform CVE-2021-44228 – Impact of Log4j vulnerability on SAP BusinessObjects 2021/12/17

Schneider Electric (APC)

製品 影響 参照 更新日
APC PowerChute Business Edition システム制御奪取 Apache Log4j脆弱性 に影響するシュナイダーエレクトリック製品と対策について 2021/12/28
APC PowerChute Network Shutdown Enterprise Edition システム制御奪取 Apache Log4j脆弱性 に影響するシュナイダーエレクトリック製品と対策について 2021/12/28

Shibboleth

製品 影響 参照 更新日
OpenSAML Java Log4j CVE (non)-impact 2021/12/17

シックス・アパート

1 『Movable Type Premium において、全文検索プラグイン「PremiumSearch」をお使いの場合、利用されている Elasticsearch で Log4j を利用しており、脆弱性の影響を受ける可能性があります。』

Sky

製品 影響 参照 更新日
SKYSEA Client View Javaライブラリ「Apache Log4j」の脆弱性について 2021/12/23

SolarWinds

製品 影響 参照 更新日
Kiwi Syslog Server Apache Log4j Critical Vulnerability (CVE-2021-44228) 2021/12/17

Soliton

製品 影響 参照 更新日
Soliton FileZen 【情報】Apache Log4j 脆弱性の影響について 2021/12/17
Soliton NetAttest EPS 【情報】Apache Log4j 脆弱性の影響について 2021/12/17
Soliton NetAttest EPS-ap 【情報】Apache Log4j 脆弱性の影響について 2021/12/17
Soliton SecureGateway 【情報】Apache Log4j 脆弱性の影響について 2021/12/17

SonarSource

製品 影響 参照 更新日
SonarQube 1 SONAR-15827 2021/12/17

1 直接影響を受けません。Elasticsearch コンポーネントが影響を受けるようです。

SonicWall

製品 影響 参照 更新日
SonicWall Secure Mobile Access SNWLID-2021-0032 2021/12/17
SonicWall SonicOS 1 SNWLID-2021-0032 2021/12/17

1 SonicWallのFW用OSでありFWは影響無のため影響無と判定しました。

Sophos

SOS

製品 影響 参照 更新日
SOS JobScheduler システム制御奪取1 Maintenance Releases and Patches for Mitigation of Log4j vulnerability 2021/12/17

1 LDAP JNDI パーサを使用せず、いかなる JNDI 構成も含まずに提供されるため、危険度は中程度 (MEDIUM) とされています。(JOC-1184)

Splunk

製品 影響 参照 更新日
Splunk Enterprise システム制御奪取 Splunk Security Advisory for Apache Log4j (CVE-2021-44228 and CVE-2021-45046) 2021/12/17
Splunk Universal Forwarder Splunk Security Advisory for Apache Log4j (CVE-2021-44228 and CVE-2021-45046) 2021/12/17

Spring

製品 影響 参照 更新日
Spring Boot システム制御奪取 Log4J2 Vulnerability and Spring Boot 2021/12/17
Spring Framework 利用確認 Upgrade to Log4j2 2.15.0 2021/12/21

SSH.COM

製品 影響 参照 更新日
SSH Tectia Client Security Advisory: Apache Log4j (CVE-2021-44228 & CVE-2021-45046) 2021/12/20
SSH Tectia Server Security Advisory: Apache Log4j (CVE-2021-44228 & CVE-2021-45046) 2021/12/20

Synology

製品 影響 参照 更新日
Synology DSM Synology-SA-21:30 Log4Shell 2021/12/17

TIBCO Software

製品 影響 参照 更新日
TIBCO JasperReports Library Community Edition 1 Log4j CVE-2021-44228 vulnerability #239 2021/12/17

1 ビルドテストに使用。

Trend Micro

製品 影響 参照 更新日
Trend Micro InterScan Messaging Security Suite Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro InterScan Web Security Suite Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro InterScan for Microsoft Exchange Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro Portalprotect for Microsoft SharePoint Portal Server Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro ServerProtect for EMC Celerra Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro ServerProtect for Linux Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro ServerProtect for Network Appliance filers Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro ServerProtect for Windows Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17
Trend Micro ウイルスバスター コーポレートエディション Apache Log4j の脆弱性(CVE-2021-44228)について 2021/12/17

Veritas

製品 影響 参照 更新日
Veritas Backup Exec Impact of CVE-2021-44228 Apache Log4j Vulnerability on Backup Exec 2021/12/17
Veritas NetBackup システム制御奪取1 Impact of CVE-2021-44228 Apache Log4j Vulnerability on NetBackup 2021/12/17

1 NetBackup Primary Server に影響し、NetBackup Client には影響しません。

Wind River

製品 影響 参照 更新日
Wind River VxWorks Apache Log4j Vulnerability, CVE-2021-44228 (Log4Shell) and Related Vulnerabilities 2021/12/23

VMware

製品 影響 参照 更新日
VMware ESX Server VMSA-2021-0028 2021/12/17
VMware ESXi VMSA-2021-0028 2021/12/17
VMware Horizon システム制御奪取 VMSA-2021-0028 2021/12/17
VMware NSX for vSphere システム制御奪取 VMSA-2021-0028 2021/12/17
VMware Tools VMSA-2021-0028 2021/12/17
VMware Unified Access Gateway システム制御奪取 VMSA-2021-0028 2021/12/17
VMware Workstation VMSA-2021-0028 2021/12/17
VMware Workstation Pro VMSA-2021-0028 2021/12/17
VMware vCenter Server システム制御奪取 VMSA-2021-0028 2021/12/17
VMware vSphere Management Assistant VMSA-2021-0028 2021/12/17

VyOS

製品 影響 参照 更新日
VyOS Log4Shell vulnerability 2021/12/17

Webtide

製品 影響 参照 更新日
Jetty 1 Jetty & Log4j2 exploit CVE-2021-44228 2021/12/17

1 デフォルトでは使用および依存しない

Yamaha

Zoho Corporation

製品 影響 参照 更新日
Zoho Corporation ManageEngine Desktop Central Apache Log4jの脆弱性(CVE-2021-44228)の影響 2021/12/17

更新履歴

  • 2021年12月15日

    • 新規公開

  • 2021年12月17日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加しました

  • 2021年12月20日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました

  • 2021年12月21日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました

  • 2021年12月22日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました

  • 2021年12月23日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました
    • 製品情報をソートしました

  • 2021年12月24日

    • 「概要」にリンクを2件追加しました
    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました

  • 2021年12月28日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました

  • 2022年01月20日

    • 「SIDfm の監視対象製品への影響」に製品情報を追加・更新しました

参照

  1. "CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.," The Apache Software Foundation, Dec 10, 2021.
  2. "[ANNOUNCEMENT] Apache Log4j 2.15.0 Released," The Apache Software Foundation, Dec 10, 2021.
  3. "[ANNOUNCEMENT] Apache Log4j 2.16.0 Released," The Apache Software Foundation, Dec 13, 2021.
  4. Free Wortley, Chris Thompson, Forrest Allison, "Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package," LunaSec Blog, Dec 9, 2021.
  5. 「Apache Log4j の脆弱性対策について(CVE-2021-44228)」, 情報処理推進機構, 2021年12月13日
  6. 「JVNVU#96768815 Apache Log4jにおける任意のコードが実行可能な脆弱性」, Japan Vulnerability Notes, 2021年12月13日
  7. 「JPCERT-AT-2021-0050 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」, JPCERT/CC, 2021年12月11日
  8. Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙った攻撃について, CyberSecurityTIMES, 2021年12月22日
  9. Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙った攻撃について(詳細解説), CyberSecurityTIMES, 2021年12月22日
  10. Apache Log4j2のRCE脆弱性(CVE-2021-44228)への攻撃と検知状況(2021/12/20状況), CyberSecurityTIMES, 2021年12月22日


脆弱性からの組織防衛のために

あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。

脆弱性の調査パッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!

それらを全て実現するサービスがあります。

脆弱性管理ツール「SIDfm VM」について詳 しくはこちらから

SIDfm VM での脆弱性管理の具体的なプロセス

SIDfmセミナーご案内

  • システム管理者・運用者必見

    【SIDfmを活用した対策】

    脆弱性の情報収集から対策すべきポイントを特定、優先順位づけ、そして対策後の管理など、専門家が脆弱性対策の全体像を整理し事例などを交えて解説します。

    お申込みはこちらへ
最新の記事

脆弱性と対策のことなら

SIDfm

  • お問い合わせ

    SIDfm 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる