Apache-Log4jの任意のコード実行の脆弱性に関するSimcenter-STAR-CCM+の対応についてご案内します。
Apache-Log4jの任意のコード実行の脆弱性に関するSimcenter-STAR-CCM+の対応についてご案内します。
https://www.ipa.go.jp/security/security-alert/2021/alert20211213.html
にありますように、
JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性が
報告されております。
Apache Log4jはJavaで構築されたWebアプリケーションのログ管理として広く使用されており、
任意の文字列のコードを送りつけることにより、脆弱性を突いた任意の有害なコード(プログラム)の実行をさせる仕組みです。
第一に、Webサーバとして機能していなければ、この脆弱性を突かれることはありません。
Simcenter STAR-CCM+ではLog4jを使用しておらず、Webサーバとしての機能もないため、この脆弱性の影響を受けません。
ライセンスサーバであるFlexera社のFlexnet Publisherでは、ライブラリコンポーネントとしてLog4jが存在しています。
Simcenter STAR-CCM+ではFlexNetPublisher v11.18を使用していますが、
CVE-2021-44228 & CVE-2021-45105 : Log4j vulnerability impact on FlexNet Publisher - Community (flexera.com)
に記載があるlmadmin型の運用をできなくしていますので、Log4jは含まれません。
旧バージョンで運用される場合、FlexNetPublisher v11.14およびlmadmin型の運用ができるようになっていますが、
これらはLog4j-1.2.8.jarであり、今回の脆弱性の対象となる、”Apache Log4j-core 2.15.0より前の2系のバージョン”に該当しない、
1系のバージョンであることから問題はないとされています。
<参考情報>
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html