FAQ情報:
|
|
| Votes: |
0 |
| 結果: |
0.00 % |
| Last update: |
2021/12/28 08:10:02 |
|
|
|
Question: (公開)
| Log4j のセキュリティ脆弱性(CVE-2021-44228)について |
|
|
Answer: (公開)
FOBAS CSC では Webコントロールパネル機能の内部的なライブラリとして、
Log4j を利用しており、今回報告があった脆弱性の影響を受ける可能性があります。
速やかに以下のいずれかの対応をご検討ください。
1) 脆弱性対策版の Webコントロールパネルをダウンロードしインストールする
サーバに root ログインし、以下のコマンドで対策版のダウンロード、および
インストールを行います。
V3.x 系
# downloadPatch http://download.fobas.jp/patch/ Patch_20211227
# installPatch Patch_20211227
V4.x 系
# downloadPatch http://download.fobas.jp/patch/ Patch_20211211
# installPatch Patch_20211211
2) Webコントロールパネルのインターネットゾーンからの利用を制限する
この対策は、インターネットゾーンからの攻撃を防ぐことを目的としており、
ローカルネットワークからの攻撃を防ぐことはできません。
脆弱性対策版適用時の注意事項
脆弱性対策版の Webコントロールパネルは、緊急対応として FOBAS CSC v3.x および
v4.x の最新パッチリリースでの検証のみを実施しています。機能的には、その他の
旧リリースでも稼働することが期待されますが、不測の不具合があった場合、最新の
パッチリリースの適用をご検討ください。その際、本脆弱性パッチを再度適用する
必要があります。
# 2021/12/27 追記、修正
FOBAS CSC V3.x 系用に、Log4j 2.12.3 で Build した Webコントロールパネル
の修正版を作成しました。上記手順にてインストールしてご利用ください。
|
|
|