弊社取扱製品の[Apache Log4j]の脆弱性(CVE-2021-44228)について
弊社取扱の下記製品はライセンス管理システムを除き、[Apache Log4j]を利用しておりません。
安全に製品をご利用いただくことができます。
・カバレッジマスター winAMS
・PLAS-Qlite
・CasePlayer2
・SharedVariableChecker2
・MC-Verifier
・PROMPT
・Model Dr. MDiA
・Safilia Designer / Integrator
・Seculia
・T1(Timing-Suite T1/Timing 1st class)
・FuncVarGrid
・QTE(Quality Town for Embedded Grade)
Windows製品向けライセンス管理ソフトウェアへの影響
Windows製品向けライセンスサーバマネージャでは該当ファイルが存在します。
ライセンスサーバマネージャー内の[Apache Log4j]は
「lmadmin Alerter Service」の機能を使用する場合にのみ使用されます。
弊社ライセンスサーバの機能を使用する上では、「lmadmin Alerter Service」
の機能は使用致しません。このため、[Apache Log4j]はファイルとしては
存在しているものの、脆弱性の影響は受けません。
何も対策を行わなくても、脆弱性の影響は受けません。
該当のファイルが存在していることを対策する場合には、
最新版のlog4jのファイルにて下記ファイルを上書きしてください。
https://logging.apache.org/log4j/2.x/download.html
log4j-1.2-api-2.13.3.jar
log4j-api-2.13.3.jar
log4j-core-2.13.3.jar
なお、デフォルト設定でインストールしている場合、
配置ディレクトリは下記になります。
C:\Program Files\FlexNet Publisher License Server Manager\examples\alerter\lib
なお、このライセンスマネージャの開発元であるRevenera社の公開記事を
下記に記載致します。(英語のみのページとなります。)
https://community.flexera.com/t5/FlexNet-Publisher-Knowledge-Base/CVE-2021-44228-Log4j-vulnerability-impact-on-FlexNet-Publisher/ta-p/217384
