ChemAxon Gábor Pécsy著
初版:2021年12月15日
更新:2022年1月3日
Log4Shell および CVE-2021-45046 とも呼ばれる Log4j Java ライブラリのリモートコード実行 (RCE) 脆弱性 (CVE-2021-44228)(Log4ShellおよびCVE-2021-45046とも呼ばれます) の是正を継続して行っています。Log4j は、多くのソフトウェア製品に搭載されている Java ベースのロギングユーティリティです。
本脆弱性は、2021年12月9日(木)にApache Log4jプロジェクトにより開示されました。悪用された場合、影響を受けるエンドポイントに攻撃者が制御する文字列値をシステムが記録すると、リモートの攻撃者がサーバー上でコードを実行できる可能性があります。
ChemAxonは、この脆弱性を認知した直後から、すべてのクラウドホスティングシステムとお客様向けのオンプレミス利用用ソフトウエアを評価し、影響を受ける可能性のあるものを特定し、あらゆる暴露の是正に計画的に取り掛かりました。
影響を受けるすべてのChemAxon製品がlog4j2.16を使用するように更新されているため、新規のインシデント[CVE-2021-45046]は追加の脅威をもたらしません。
また、新規のインシデントCVE-2021-45105は、追加の脅威をもたらしません。
このページは、より多くの情報が入手可能になり次第、継続的に更新されます。
ChemAxonは、この脆弱性の潜在的な影響を軽減するため、迅速に措置を講じています。
修正プログラムは、以下の影響を受ける製品の今後のフリークエント・リリースで公開される予定です。
その他のChemaxon製品は影響を受けません。 その他の緩和策 また、お客様が実行されている他の(ChemAxon 以外の)ソフトウェアが影響を受ける可能性があるかどうかを確認し、該当するベンダーにパッチが提供されているかどうかを確認されることをお勧めします。
今後も必要に応じて、このドキュメントで最新情報をお伝えしていきます。
原文:https://chemaxon.com/news/chemaxons-response-to-cve-2021-44228-log4shell
【補足】
※CRAIS Checker、CRAIS Reagentはlog4jを用いておりませんので、本脆弱性の影響は受けません。