Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。
この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
参考情報:
- Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起:JPCERT コーディネーションセンター
- Apache Log4j Security Vulnerabilities:The Apache Software Foundation
- 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228):情報処理推進機構
弊社製品への影響
Apache Log4j は以下の弊社製品には含まれておらず、本脆弱性の影響は受けません。
- ビジネス音声蓄積活用プラットフォーム「YouWire」
- AIオムニチャネルソリューション「XCALLY」
- AmazonConnect補完・拡張サービス「Sylphina」
- 音声認識エンジン「認者」
弊社製品と連携するシステム/サービスへの影響
YouWireやAmazonConnectの一部顧客において、ElasticSearchと連携して提供しておりますが、
弊社が連携しているElasticSearchのバージョンは7.10以降であり、7.8以降では影響ないことが
Elastic社公式サイトでアナウンスされております。
Apache Log4j2 Remote Code Execution (RCE) Vulnerability – CVE-2021-44228 – ESA-2021-31
Elasticsearch
Supported versions of Elasticsearch (6.8.9+, 7.8+) used with recent versions of the JDK (JDK9+) are not susceptible to either remote code execution or information leakage. This is due to Elasticsearch’s usage of the Java Security Manager.