null Apache Log4j脆弱性(CVE-2021-44228)のAlfrescoへの影響について(2021/12/23更新)

Apache Log4j脆弱性(CVE-2021-44228)のAlfresco Community Editionへの影響について分かっていることをまとめました。

Alfresco Community EditionではContent Service、Search Serviceのどちらも現時点(2021年12月)の最新版である7.1で使用しているLog4jのバージョンは1.2.17であり、影響を受けるシステムとして指摘されている「Apache Log4j 2.15.0 より前の2系のバージョン」には該当しません。7.1より前のバージョンでも、全てのバージョンについて確認したわけではありませんが、Log4jのバージョンは1.2系でした。

Hyland社からも今回の脆弱性の影響はないというブログが公開されていました(ただし、コメント中のリンクは残念ながらうまく開けませんでした(2021/12/23追記)2021/12/15に下記のブログが更新され、修正されていました)。

Apache Log4j vulnerability - CVE-2021-44228

Hyland conducted an initial review of Alfresco and determined there is no impact by the Apache Log4j vulnerability

標準で入っているLog4jのバージョンは問題なさそうですが、環境によっては構築時に新しいバージョンに差し替えていたということもあるかもしれないので、念のために使用しているバージョンを確認しておくことをおすすめします。

(以下、2021/12/23追記)

上記のブログが2021/12/15に更新され、以下のブログへのリンクが追記されていました。こちらの記事によると、Alfrescoへの影響がないことに変わりはないものの、OEMパートナーによって開発された2つのOEM製品についてはLog4jの脆弱性の影響があるとのことです。使用されている方はリンク先の内容を確認して対応することをおすすめします。

CVE-2021-44228 related to Apache Log4j Security Advisory

RANKING
2020.10.12
2020.11.19
2020.12.23
2020.10.05
2020.11.25