「Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)」が及ぼすPARTsolutionsへの影響について
※2021年12月16日更新
2021年12月11日、Javaベースのロギングライブラリ「Apache Log4j」にCVE-2021-44228脆弱性が発見されました。
本脆弱性がPARTsolutionsに及ぼす影響について以下のことをお伝えいたします。
PARTsolutions V11以降
すべてのお客様は影響を受けません。
PARTsolutions V11のログ出力機能は、本件脆弱性のあるJavaのlog4jライブラリではなく、Log4cxxというC++のライブラリを使用しています。
Log4cxxはLog4jを基礎としたライブラリですが、この2つのライブラリは根本的に異なり、コードを共有していません。
PARTsolutions V10以前
ほとんどのお客様は影響を受けません。
まずログ出力機能自体はV11と同様log4cxxライブラリを使用しています。
そしてPARTsolutions V10以前では、確かにsoftwareフォルダ内にlog4jファイルが含まれておりますが、これはAutodesk VaultとPARTsolutionsとの連携を可能とするモジュール「Vaultインテグレーション」においてのみ使用されております。
したがって、「Vaultインテグレーション」を使用していないお客様の場合、以下のファイルを削除することで恒久的な対策が可能です。
削除対象ファイル
- %cadenas%\libs\all\java\jar\log4j.jar
ただし万が一、本ファイルの削除に関わる何らかの別の不具合が発生した場合、PARTsolutions V10以前はサポートが終了しているバージョンになりますので、その場合はPARTsolutions V11にバージョンアップしていただくことになります。「Vaultインテグレーション」を使用しているお客様においても同様です。
CVE-2021-44228脆弱性に関する詳細は以下のリンク先を参照ください。