log4jの脆弱性（CVE-2021-44228）についてのメンロからのお知らせ

メンロ・セキュリティは、log4jライブラリに影響を及ぼす重大な脆弱性について対応を進めています。今後も状況の推移を監視し、必要に応じてアップデートを提供していく予定です。詳細については以下を参照し、こちらのナレッジベースの記事をお読みください。

[2021-12-22] のお知らせ（Update4）

メンロ・セキュリティは、クラウド環境内のすべてのlog4jノードについて、2.16へのパッチの適用を完了しました。Log4j 2.16で発見された最近のDOSバグはメンロ・セキュリティに影響しません。メンロ・セキュリティは、引き続きすべてのlog4jノードにlog4j 2.17へのパッチを適用する予定です。

オンプレミスのお客様は、OVA 2.81.3にアップグレードすることで、log4j 2.16のアップデートが適用されます。メンロ・セキュリティは今後、log4j 2.17を含む別のOVAをリリースする予定です。

[2021-12-14] のお知らせ（Update3）

メンロ・セキュリティは、クラウド環境内のすべての log4j ノードに2.15へのパッチ適用を完了しました。しかし最近、log4j 2.15内でより低い深刻度（CVE-2021-45046）の問題が発見されたため、すべてのlog4jノードにlog4j 2.16へのパッチを適用する作業を進めています。

オンプレミスのお客様は、OVA 2.81.2 にアップグレードすることで、log4j 2.15に更新することができます。メンロ・セキュリティは、log4j 2.16を含む別のOVAをリリースする予定です。

クラウドとオンプレミスのお客様についてこの脆弱性を悪用される可能性が低いという理解は、変わっていません。

[2021-12-13] のお知らせ（Update2）

メンロ・セキュリティは、信頼されていない入力を処理する可能性のあるすべてのノードに対して、クラウド環境内のlog4jへのパッチの適用を完了しました。残りの低リスクのlog4jノードについては、引き続き作業を行っています。

前回お知らせしたとおり、メンロ・セキュリティのクラウドアーキテクチャにおいては、log4jは他のメンロのモジュールが生成したログメッセージを取扱います。このメッセージには、ユーザーが制御できる外部文字列は含まれません。log4jは信頼されていないデータを処理しないため、侵害される可能性は非常に低いと考えられます。メンロのセキュリティチームの検証では、認証されたユーザーでも侵害はできませんでした。

オンプレミスのお客様には、パッチを適用したlog4jを含むアップデート版を提供できるよう準備を進めています。メンロ・セキュリティのオンプレミスソリューションはクラウドと同じアーキテクチャを採用しているため、悪用される可能性が低いという上記の状況は、オンプレミスのお客様にも適用されます。今後も監視の目を決して緩めず、アップデート版をリリースして参ります。

[2021-12-10] のお知らせ（Update）

メンロ・セキュリティは、環境のごく一部でlog4jを使用しています。現時点では、弊社の実装が簡単に侵害可能とは考えておらず、侵害された形跡も見当たりません。現在は監視を強化し、パッチを適用しつつある段階です。その他の進展があれば、適宜追加のアップデートを行います。

社内アプリケーション：

メンロ・セキュリティでは社内のアプリケーションについての潜在的な影響についても調査を進めており、必要に応じてパッチを適用しています。