Log4jの追加の脆弱性対応について

平素よりTreasure Data CDPをご利用いただき誠にありがとうございます。

2021年12月11日にJPCERTコーディネーションセンターより追加で発表された、
Apache Log4j ライブラリの脆弱性 (CVE-2021-45046 および CVE-2021-45105 )につきまして、Treasure Data CDPへの影響及び対応をご報告いたします。

*本記事はSecurity Update on Second Log4j Vulnerabilityの日本語要約記事となっております。

CVE-2021-45046について

2021年12月14日、オープンソースのApache「Log4j」ユーティリティーに影響を与える2つ目のセキュリティ脆弱性(CVE-2021-44228)が公開されました。公開時の緊急度としてはLowでしたが、その後一つ目の脆弱性と同様に一部の環境では任意のコード実行などが可能であるCriticalに変更されています。
弊社は、本問題が報告されるとすぐに、緩和措置作業を開始しました。本脆弱性(CVE-2021-45046)に関する緩和措置を既に完了しており、現在行っている調査では、トレジャーデータのプラットフォームに保存されているデータの機密性、完全性、可用性に影響を受けていないことを確認しております。
また、弊社サービスからのお客様情報の漏洩はございません。

 

CVE-2021-45105について

2021年12月17日、オープンソースのApache「Log4j」ユーティリティーに影響を与える3つ目のセキュリティ脆弱性(CVE-2021-45105)が公開されました。
これまでのLog4jに関連する重要度の高い脆弱性は、影響を受けるシステムへの侵入とそれに伴うデータの漏えいを引き起こす可能性がありましたが、本脆弱性によって影響を受けるシステムへの影響は、システムのパフォーマンスの低下、またはdenial-of-service(DoS)となり、深刻度が緊急ではなく、その悪用も難しいものとなっています。
弊社は、リリースの中でプラットフォームの安定性とセキュリティを継続的に強化しています。CVE-2021-45105を完全に緩和するための機能強化は、今後のリリースの一環として本脆弱性に対するアップデートを順次行なっていきます。

弊社は今後も状況を監視し、必要に応じて追加情報を提供していきます。今回の脆弱性によるお客様の対応は現時点では必要ありません。また、トレジャーデータのエコシステム全体で、今後も脆弱性に対する対応に不足が生じないように、トレジャーデータはサードパーティのサービスと協力していきます。