Apache Log4j の脆弱性 (CVE-2021-44228)に関する弊社製品への影響について（2021/12/21更新）

貴社ますますご盛栄のこととお喜び申し上げます。
2021 年 12 月 9 日に公開された Apache Log4jに関連するリモートでコードが実行される脆弱性 (CVE-2021-44228)について、影響を受ける弊社製品についてご案内させていただきます。

※ Apache Log4j対応版(2.16.0)バージョンに新たな脆弱性(CVE-2021-45105)が発覚し、最新版として2.17.0がリリースされています。（2021年12月21日更新）

影響を受ける製品

• CROWNIX Report Center v1.0／v1.1／v1.2
• CROWNIX Report Portal v2.1／v2.1／v2.3／v2.4

※ CROWNIX Report Portal v2.0以前の製品は対象モジュールを使用していないため影響を受けません。
※ 今後弊社から提供される最新版製品はすべて対応済みになります。

対処方法

対象製品のApache Log4jを最新版に置換えることで影響を回避できます。

※ 2021年12月21日に最新版が更新されました。各ファイルのバージョン番号が「2.17.0」より古い場合に下記を実行してください。

Apache Log4j最新版ダウンロードURL

• CROWNIX Report Center用：https://m2soft.co.jp/Download/log4j-2.17.0-center.zip
• CROWNIX Report Portal用：https://m2soft.co.jp/Download/log4j-2.17.0-portal.zip

適用手順：CRWONIX Report Centerの場合

• 対象ファイルの場所：＜Tomcatルート＞webapps\ReportCenter\WEB-INF\lib フォルダ
• 削除するファイル： log4j-api-2.xx.x.jar / log4j-to-slf4j-2.xx.x.jar（２ファイル）
  ※「2.17.0」より古いバージョン番号
• 追加するファイル（ダウンロードしたファイル）：log4j-api-2.17.0.jar / log4j-to-slf4j-2.17.0.jar（２ファイル）

※ 適用後にTomcatの再起動が必要です。

適用手順：CROWNIX Report Portalの場合

• 対象ファイルの場所：＜Tomcatルート＞webapps\ROOT\WEB-INF\lib フォルダ
• 削除するファイル：log4j-api-2.xx.x.jar / log4j-core-2.xx.x.jar（２ファイル）
  ※「2.17.0」より古いバージョン番号
• 追加するファイル（ダウンロードしたファイル）：log4j-api-2.17.0.jar / log4j-core-2.17.0.jar（２ファイル）

※ 適用後にTomcatの再起動が必要です。

以上、お手数をお掛けしますがご対応のほど何卒よろしくお願いいたします。