[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01467] 【注意喚起】Shibboleth IdPにおけるApache Log4j 1.xの脆弱性(CVE-2021-4104)の影響について

Subject: [upki-fed:01467] 【注意喚起】Shibboleth IdPにおけるApache Log4j 1.xの脆弱性(CVE-2021-4104)の影響について
Date: Wed, 5 Jan 2022 16:24:26 +0900
From: xxxxxxxxxxxxxx@xxxxxxxxx

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

先日アナウンスした「【注意喚起】Shibboleth IdP/SPにおけるApache Log4j
のコード実行脆弱性(CVE-2021-44228)の影響について」に関する続報です。

CVE-2021-44228とは異なる脆弱性としてApache Log4jバージョン1の脆弱性

(CVE-2021-4104)が報告され、RedHatより修正パッケージがリリースされています。(*1)


Tomcatを利用していた過去の技術ガイドの手順では、依存パッケージとして
Log4jバージョン1がインストールされますが、当時の技術ガイドに従って設定している場合には
TomcatはLog4jバージョン1を使用しませんので脆弱性の影響はありません。

技術ガイドと異なる設定をしている場合やLog4jバージョン1を別途使用している場合には
脆弱性の影響を受ける可能性がありますので、(*1)(*2)をご確認いただきアップデートを
適用するなどの対策を実施してください。

(*1) https://access.redhat.com/errata/RHSA-2021:5206
(*2) https://access.redhat.com/security/cve/CVE-2021-4104

--
========================================================= 　
国立情報学研究所 学術基盤課 認証担当 　xxxxxxxxxxxxxx@xxxxxxxxx
=========================================================

Prev by Date: [upki-fed:01466] Re: RelyingPartyResolverServiceが起動しないことにつきまして
Next by Date: [upki-fed:01468] $B!Z=EMW![3XG'%5!<%S%9$N0lItDd(B$B;_$K$D$$$F!J(B2022/01/16$B!K(B
Previous by thread: [upki-fed:01465] $B?7(BSP mdx $B$N$40FFb(B
Next by thread: [upki-fed:01468] $B!Z=EMW![3XG'%5!<%S%9$N0lItDd(B$B;_$K$D$$$F!J(B2022/01/16$B!K(B
Index(es):
- Date
- Thread