[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01478] 【注意喚起】Shibboleth IdPにおけるApache Log4j 1.xの脆弱性(CVE-2022-23302, CVE-2022-23305, CVE-2022-23307)の影響について

Subject: [upki-fed:01478] 【注意喚起】Shibboleth IdPにおけるApache Log4j 1.xの脆弱性(CVE-2022-23302, CVE-2022-23305, CVE-2022-23307)の影響について
Date: Mon, 28 Feb 2022 14:40:24 +0900
From: xxxxxxxxxxxxxx@xxxxxxxxx

IdP運用担当者　各位
学認情報交換ML参加者　各位

国立情報学研究所　学認事務局です。
平素より学認の運営にご協力を賜り，ありがとうございます。

[upki-fed:01467]に引き続き、Apache Log4j 1.xについて、リモートから攻撃可能な
脆弱性(CVE-2022-23302, CVE-2022-23305, CVE-2022-23307)に関する
修正パッケージが公開されています。

Tomcatを利用していた過去の学認技術ガイドの手順では、依存パッケージとしてLog4j1.xがインストールされますが、当時の技術ガイドに従って設定している場合にはTomcatはLog4j1.x

を使用しませんので、脆弱性の影響はありません。

技術ガイドと異なる設定をしている場合やLog4j1.xを別途使用している場合には脆弱性の

影響を受ける可能性がありますので、以下のサイトなどで情報をご確認いただき、アップデートを
適用するなどの対策を実施してください。

https://access.redhat.com/errata/RHSA-2022:0442
https://access.redhat.com/security/cve/CVE-2022-23302
https://access.redhat.com/security/cve/CVE-2022-23305
https://access.redhat.com/security/cve/CVE-2022-23307

なお、Apache Log4j 1.xは現在の学認技術ガイドに沿った構築では使用しないため、
当該ソフトウェアの脆弱性アナウンスは今回限りとさせていただきます。

--
===============================================
国立情報学研究所　学術基盤課　総括・連携基盤チーム（認証担当）
お問い合わせフォーム：https://www.gakunin.jp/contact
===============================================

Prev by Date: [upki-fed:01477] 【注意喚起】Apache HTTP Serverの脆弱性について (CVE-2021-44790)
Next by Date: [upki-fed:01479] $B!V3XG'(BLMS$B!W!!Dj4|%a%s%F(B$B%J%s%9$N$*CN$i$;(B(2022.3.30$B

Previous by thread: [upki-fed:01477] 【注意喚起】Apache HTTP Serverの脆弱性について (CVE-2021-44790)
Next by thread: [upki-fed:01479] $B!V3XG'(BLMS$B!W!!Dj4|%a%s%F(B$B%J%s%9$N$*CN$i$;(B(2022.3.30$B

Index(es):
- Date
- Thread