発信日:2021/12/28
株式会社SHIFT CATサポートチームです。
2021年12月11日よりJPCERTコーディネーションセンターより発表された、
Apache Log4jの脆弱性(CVE-2021-44228、CVE-2021-45046)について、
CAT ダウンロード版の対応について記載いたします。
<CAT ダウンロード版の対応の方法について>
2021年の12月11日以前にリリースされているCATダウンロード版(CAT4.18.313以前)については
今回の影響を受けるLog4jのバージョンを利用していることを確認しております。
本件について、対応バージョンのアップデーターをリリースしました。
内容のご確認とアップデートのご検討をお願いいたします。
- 影響を受けるCATのバージョン
CAT4.18.313以前のすべてのバージョン
- 影響を受ける脆弱性
CVE-2021-44228、CVE-2021-45046
- 上記に対応したバージョン
CAT4.18.315 以降のバージョン
- 対応内容
Log4jのバージョンを2.16.0へアップデートしました。
- 備考
本脆弱性に関連して報告されたCVE-2021-45105については、
報告されている問題のトリガーとなる設定は利用しておりません。
本脆弱性の対象外ではあるものの、現在、Log4j 2.17.0へ最新化したCAT4.18.316を
リリースしております。
<一時的な回避方法について>
アプリケーションへの適用までの一次対応として本脆弱性を無効化する対応を記載します。
応急対応としての適用をご検討ください。
<Lookup機能の無効化について(RHEL7・CentOS7系の設定)>
以下の手順で、Lookup機能を無効化していただくことで、
本脆弱性の影響を無効化することが可能です。
手順についてご確認ください。
設定手順
テキストファイルにて記載しております。
ダウンロード後、解凍し手順をご確認ください。
https://www.catcloud.net/resources/installer/2021-12-16_SettingForLog4j.zip
<その他の対応方法について>
AWSなどで運用されているお客様は、Lookupの無効化と併せて、
WAFのマネージドルール「Log4JRCE」をご利用いただくことで、
セキュリティの向上をはかることも可能です。
この他、ご不明な点等がありましたら、CATサポートまでご連絡ください。
<CATサポート>
メール:cat_tech_support@shiftinc.jp