log4jの脆弱性CVE-2021-44228 について
Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
脆弱性の詳細は、次のリンクをご参照ください。(外部リンク)
Apache Log4j の脆弱性対策について(CVE-2021-44228)
影響の範囲
本脆弱性に関して、ZMFでは Restサービス、Mobile サービス、Webサービスを使用しているすべてのバージョンに影響があります。
回避方法
この脆弱性を回避するには、log4jのルックアップ機能を無効にします。
Z/OS上のTomcatの場合
Tomcat Configuration Libraryの TCENV メンバーを編集し、次の行を加えます。
IJO="$IJO -DLog4j2.formatMsgNoLookups=true”
編集が終わったら、Tomcat タスクの再起動が必要です。
Z/OS以外のプラットフォームの場合
- Configure Tomcat ツールを起動します。
- Java タブを選択、Java Optionsの末尾に、-Dlog4j2.formatMsgNoLookups=true を追加します。
- [適用](Apply)ボタンを押します
- Generalタブを選択、[Stop]ボタンを押し、1~2分程度待ちます。[Start]ボタンが有効になったら[Start]をクリックします。
ホットフィックスについて
ZMF 8.2 Patch 5をお使いのお客様には、HF(ZMF8.2.5.032)が用意されています。 テクニカルサポートにお問い合わせください。
ZMFの前バージョンのリリースを使用している場合は、Tomcatで上記の回避策を実行してください。