Apache Log4j の脆弱性の共有
皆さんお疲れさまです。Seiyaです。
今回は先日発表されたApache Log4j の脆弱性について、Workspace ONEに関連する情報を共有させていただきます。
まず、Apache Log4j の脆弱性が与える影響について紹介します。
今回発表された内容はApache Log4j を利用している製品のログへ特定の文字列を出力することによって、実行されてはならないコードを実行できてしまうというものでした。
これを利用することにより対象の製品に保存されている個人情報を抜き取るなど、権限に関わらず制御することが可能になってしまいます。
Workspace ONEに関するものだけでなく、この影響を受けるVMware製品は以下のサイトにて都度、更新されています。
現状、Workspace ONE関連コンポーネントで影響を受ける製品は以下の通りとなります。
- Workspace ONE Access(Identity Manager)
- Workspace ONE Access Connector(Identity Manager Connector)
- Unified Access Gateway
Workspace ONE AccessについてはSaaS版を利用している場合は特に対応は不要です。
Workspace ONE Access Connectorについては修正パッチが作成されています。
また、本製品はイントラネットワークに構築される製品となっており、この脆弱性の与えるリスクは低いものとなっております。
Unified Access Gatewayについては脆弱性が修正されたバージョン:Unified Access Gateway2111.1がリリースされています。
また、Horizon エッジまたはリバースプロキシエッジの認証としてRADIUSまたはRSA SecurID認証を利用している場合が今回の脆弱性を受ける対象となります。
今回の記事は業界全体に影響を与えているApache Log4j の脆弱性について紹介させていただきました。
Workspace ONEに関連するコンポーネントについてはどれも対応策が公開されており、今回の脆弱性が与えるリスクとしてもそれほど緊急性の高いものではないとされています。
しかし、脆弱性についての情報は現在も更新されており、緊急性の高い影響を与えるリスクが潜んでいます。
今後も情報を確認し、しっかり対策を行うことを検討してください。
私も脆弱性については今後の対応を確認し、必要に応じてみなさんへ情報を共有しようと思います。
今後も引き続き、ご愛読よろしくお願いします。