こちらは、McAfee社より通達された重要情報となります。
[概要]
Apache によって最近リリースされた CVE-2021-44228(一般に Log4Shell と呼ばれる)を
確認しています。攻撃者は、ログメッセージ、またはログメッセージパラメータを利用して、
LDAP サーバーおよびその他の JNDI 関連のエンドポイントでリモートコード実行を実行できます。 McAfee Enterprise は、脆弱なシステムを Apache log4j 2.15.0 にアップグレードすることをお勧め
します。 この脆弱性は重大であると見なされ、CVSS(3.0) スコアは 10.0 です。
KB95091は、この脆弱性を調査する際のガイダンスと更新を提供するために、公開しています。
詳細情報については、下記のKBを参照ください。
KB95091:McAfee Enterprise coverage for Apache Log4j CVE-2021-44228 Remote Code Execution
https://kc.mcafee.com/agent/index?page=content&id=KB95091
SB10377:REGISTERED - Security Bulletin - McAfee Enterprise products' status for "Log4Shell" (CVE-2021-44228, CVE-2021-4014, and CVE-2021-45046)
https://kc.mcafee.com/agent/index?page=content&id=SB10377
※製品への影響の可能性を継続して調査しており、それに応じて製品ステータスが上記の記事内で更新される予定です。
最新の情報は、上記の記事を参照ください。
[関連する製品]
[修正済]
[McAfee Enterprise Cloud SaaS Services (一部修正含む) ]
[Log4jを使用しておらず、脆弱性のない製品]
【関連・参考情報】
SNS 通知: 緊急UDSリリース情報- UDS-HTTP: Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228)
https://kc.mcafee.com/corporate/index?page=content&id=SNS3333&actp=null&viewlocale=ja_JP&locale=ja_JP
Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
[McAfee KB情報]
KB95091
SB10377
更新日:2021/12/20