ServerView Operations ManagerにおけるApache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)
1. 脆弱性の説明
ServerView Operations Managerに含まれるApache Log4jにおいて、遠隔の第三者が細工したデータを送ることで、任意のコマンドを実行される可能性がある脆弱性が存在することが判明いたしました。
詳細は以下のCVE-2021-44228情報をご参照ください。
2. 脆弱性のもたらす脅威
ServerView Operations Managerにおいて第三者がそれらのWebUIにインターネットからアクセスし、細工をしたデータを送ることで、任意のコードが実行される恐れがあります。
3. 該当システム・対策情報
3-1.該当システム
PRIMERGY, PRIMEQUEST
3-2.該当製品・対策Patch
製品名 | バージョン | 対象OS | パッケージ名 | Patch ID |
---|---|---|---|---|
ServerView Operations Manager | V9.60.02/V9.60.03/
V9.70.00/V9.71.00/ V9.80.01 | Windows Server 2012/2012 R2/2016/2019/2022
RHEL 6.10/7.7/7.8/7.9/8.0/8.1/8.2/8.3/8.4/8.5 SLES 11 SP4/12 SP4/12 SP5/15/15 SP2/15 SP3 | Operations-Manager-Patch-log4j | V1.00[*1] |
[*1] CVE-2021-44228の回避を行うためのパッチです。以下よりセキュリティパッチをダウンロードし適用ください。
- Windows:https://azby.fmworld.net/app/customer/driversearch/ia/drviadownload?driverNumber=F1032944
- Linux:https://azby.fmworld.net/app/customer/driversearch/ia/drviadownload?driverNumber=F1032945
参考: 該当製品の確認方法
ServerView Operations ManagerのWebUIにて、ヘルプのバージョン情報からご確認ください。
3-3. 回避方法
なし
4. 関連情報
- JPCERT/CC
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 - Apache
Apache Log4j Security Vulnerabilities
5. 改版履歴
- 2021年12月24日:新規掲載