# 脆弱性の概要

> [更新：Apache Log4j の脆弱性対策について(CVE-2021-44228)：IPA 独立行政法人 情報処理推進機構](https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html)
>
> Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。
> この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。

# esaにおける対応状況

esaは主にJava以外の言語を用いたシステムで構成されているため、これらについては本脆弱性の影響を受けません。

例外的に一部のサーバー(PlantUML / Amazon OpenSearch)においてJavaを使用しており、それらについては2021-12-14 11:00 (JST)時点で影響範囲の確認や必要なパッチを適用するなどの対応が完了しております。

> - [Is plantuml affected by log4j security vulnerability? - PlantUML Q&A](https://forum.plantuml.net/15151/is-plantuml-affected-by-log4j-security-vulnerability)
> - [Update for Apache Log4j2 Security Bulletin (CVE-2021-44228)](https://aws.amazon.com/jp/security/security-bulletins/AWS-2021-006/)

# サービスへの影響

2021-12-14 11:00 (JST)時点で弊社が管理するサーバーへの対応は完了しており、
この対応によって影響がないことを確認しております。

本件に関しまして、お客様側でのご対応は必要ございません。

当社は引き続きこの脆弱性の影響を調査し、必要に応じて対応を行っていきます。
進展があった場合には、こちらの記事を更新いたします。

# 参考リンク

- [CVE Record | CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228)
- [CVE Record | CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046)
- [Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog](https://piyolog.hatenadiary.jp/entry/2021/12/13/045541)