ニュース・お知らせ詳細
2021年12月24日お知らせ
【住所正規化コンバータR7】log4j脆弱性に対する対応について
国際航業株式会社
LBSセンシング事業部
平素は弊社製品をご利用頂きありがとうございます。
さて、2021年12月10日に、住所正規化コンバータR7が内部で利用している Log4j2 というライブラリの深刻なセキュリティホールが発見されたという情報が公開されました。
⇒https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
そのため、住所正規化コンバータR7を利用してWebサービスを構築し、そのサービスをインターネット等不特定多数の方がアクセスできる環境で稼働されているお客様は、対応が必要になります。
つきましては、弊社では当該脆弱性に対応したR7.1.1を、急遽ご用意いたしましたので、ご連絡申し上げますと共に、下記を参照の上、対象バージョン(正式版)をご利用のユーザ様におかれましては、R7.1.1へのバージョンアップをお願いいたします。
対象となるバージョン
住所正規化コンバータ R7.0.x/ R7.1.x
脆弱性の内容
ログに出力される文字列に攻撃文を含めると、その文字列に含まれる任意のJavaコードを実行できてしまう。
例えば攻撃に利用できる文字列を「(変換用の)住所文字列」として入力されると、問題になります。
対応方法
現在R7製品版をお使いのお客様は、
- ①R7.1.1へのバージョンアップ
- ②もしくは R7.1.1に含まれるLog4j2ライブラリ
log4j-api-2.15.0.jar
log4j-core-2.15.0.jar
log4j-slf4j-impl-2.15.0.jar
をコピーし、現在ご利用いただいているR7.0.x/R7.1.xの当該ファイル(例:*-2.15.0.jarの部分が、*-2.13.3.jar、 *-2.14.1.jarなど古い数字のもの)を置き換えてください。
また、R7.1.1に収録しておりますLog4j2ライブラリ2.15.0は、正式版の2.15.0を収録しており、問題が発生しているApache Log4j 2.15.0-rc1ではありません。
なお、住所正規化コンバータR6については今回の脆弱性の対象となるLog4j2(2系)ではなくLog4j(1系)を使っているため問題はございません。
詳細はJPCERTのページをご確認ください。
⇒https://www.jpcert.or.jp/at/2021/at210050.html
R7.1.1の配布方法
R7.1.1の配布方法にダウンロードとメディアの送付をご用意しておりますので、ご指定下さい。メディアの送付は、ご用命頂いた後1週間ほどのお時間を要してしまうため、お急ぎの方はダウンロードをご指定いただけますと幸いです。
ご連絡先
R7.1.1をご希望される場合は、以下のいずれか宛にご連絡願いたく存じます。
- ◆製品専用アドレス addressmatch@kk-grp.jp
- ◆お問い合わせフォーム https://biz.kkc.co.jp/contact/general/?pi=158
※聞き違えおよび取り違え防止のためお電話によるお問い合わせはご遠慮いただいております。