説明
Apache Log4j 2.x (2.0 ~ 2.14.1) の構成、ログメッセージ、およびパラメータで使用される JNDI 機能は、攻撃者が制御する LDAP や他の JNDI 関連エンドポイントから保護されていません。 ログメッセージやログメッセージのパラメータを制御できる攻撃者は、JNDI Lookup 機能 (メッセージの検索と置換機能) が有効な場合に、LDAP サーバーから読み込んだ任意のコードを実行できます。
詳細については Apache Announcement をご参照ください。最新の Log4j 2.15.0 にアップグレードするか、推奨される緩和策を直ちに適用することをお勧めします。
問題
CVE ID: CVE-2021-44228 - Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints.
Severity: Critical
Base CVSS Score: 10.0
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
影響を受けるバージョン
Backup Exec は Log4j2 コンポーネントを使用しないため、この脆弱性の影響を受けません。Backup Exec に対して軽減措置は必要ありません。
質問
これらの脆弱性に関する質問や問題については、ベリタステクニカルサポート (https://www.veritas.com/support) にお問い合わせください。
免責事項
セキュリティアドバイザリは、「現状のまま」提供されるものであり、VERITAS TECHNOLOGIES LLC は、商品価値を有すること、お客様の特定の目的にかなうこと、権利を侵害していないことに対する暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証すべてから免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。VERITAS TECHNOLOGIES LLC およびその関連会社は、本書の提供、パフォーマンスまたは使用に関連する付随的または間接的損害に対して、一切責任を負わないものとします。Veritas は事前の通知なく本書を変更する権利を保留します。
Related Knowledge Base Articles
Was this content helpful?
Translated Content
Please note that this document is a translation from English, and may have been machine-translated. It is possible that updates have been made to the original version after this document was translated and published. Veritas does not guarantee the accuracy regarding the completeness of the translation. You may also refer to the English Version of this knowledge base article for up-to-date information.