リンコムホームページサポートシステムトップ
|
[ColdFusion2018] log4jの脆弱性(CVE-2021-44228)対応について
|
||||||||||||
|
|
||||||||||||
|
この資料は以下の製品について記述したものです。
|
||||||||||||
|
概要
|
||||||||||||
|
先日発覚しました、log4jの脆弱性(CVE-2021-44228)についてのご案内になり
ます。 13日にIPAより表題の報告があがりました。 https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html 本サイトにも記載があるように、すでに国内でも本脆弱性を利用した攻撃が観測されております。
|
||||||||||||
|
詳細
|
||||||||||||
|
今回の脆弱性対象となっている「log4j-core-2」ですが
ColdFusion2018では以下のバージョンが含まれております。 update10未満:log4j-core-2.9.0.jar update11~12:log4j-core-2.13.3.jar そのため、ColdFusion2018を利用されているお客様すべてが本脆弱性の対象になります。 ※ ColdFusion2016は「log4j-core-1」となっているため、個々でモジュールを入れ替えない限り対象ではありません。
|
||||||||||||
|
原因
|
||||||||||||
|
|
||||||||||||
|
解決策
|
||||||||||||
|
こちらの対応に関してAdobe社よりupdate13としてパッチがリリースされました。
Adobeサポートサイト(英文) https://helpx.adobe.com/coldfusion/kb/coldfusion-2018-update-13.html ColdFusion Associate https://cfassociates.samuraiz.co.jp/index.cfm/faq/coldfusion2018/cf2018-update-13/ リンコムネクストでは本パッチ適用において、動作不具合や仕様変更などは発生しませんので 対象の環境では早急にパッチ適用をご検討ください。
|
||||||||||||
| 補足
|
||||||||||||
|
ColdFusion Associateにも記載がありますが
ColdFusion2018ではupdate7を適用した際にIISコネクターが正しく動作しなくなります。 その際は上記サイトにも記載がありますように、コネクターを再作成してください。
|
||||||||||||
| 添付ファイル
|
||||||||||||
|
なし
|
||||||||||||
| 関連情報
|
||||||||||||
|
|
||||||||||||
| キーワード
|
||||||||||||
|
ColdFusion
|
| LINKcom Knowledge Base |