2021年12月23日

クレスコ・イー・ソリューション株式会社
製品サポートチーム

拝啓　貴社ますますご盛栄のことと慶び申し上げます。
平素は格別のお引き立てをいただき、厚く御礼申し上げます。

さて、Apache Software Foundation がオープンソースで提供しているJava ベースのロギングライブラリであるApache Log4j の脆弱性に対するアップデートが公開されましたので、弊社製品の影響についてお知らせします。

なお、ご利用中の製品動作環境(ソフトウェア環境)などご不明な点などございましたら、弊社製品サポート窓口へお問い合わせください。

＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋
■[CVE-2021-44228]に関して
本レポートの脆弱性は、log4jのバージョンlog4j 2.xが対象となっております。
以下の弊社製品は、log4j 1.xを利用しているため、各製品に同梱しているlog4jのバージョンApache log4j-1.2.15での利用において、脆弱性の影響がないことを確認しております。
ConnectPlus
ConnectPlusGT
ConnectPlusEt
ConnectPlus for SAP Concur
※上記以外の弊社製品はlog4j未使用のため対象外となります。

■[CVE-2021-4104]に関して
本レポートで新たにlog4j 1.xライブラリの脆弱性が報告されておりますが、こちらについても影響はないものと判断しております。
詳細は下記をご参照ください。
———————————————————
[CVE-2021-4104]の概要
JMSAppender※を使用する設定となっている場合、log4j 2系の問題と同様の脆弱性となる。
JMSAppenderは必須のモジュールではなく、使用設定は実行環境上のローカルファイルを編集する必要がある。

※JMS:Java Messaging Service
異なるJVMで起動しているアプリケーション同士で通信をするための機構
通信方法にJNDIを含む。

つまり、設定のためのファイルが事前に編集されている状況下ではlog4jライブラリの脆弱性以上の影響がすでに発生していると思われるため、この脆弱性自体の影響度としては低となります。

なお、いずれのConnectPlus系製品においても製品がインストールされているローカルのファイルへのログ出力機能のみを使用しており、JMSAppenderを利用しているものはありません。
———————————————————