Claris FileMakerとApache Log4jのセキュリティ脆弱性(CVE-2021-44228)に関する情報がClaris ナレッジベースで本日公開されました。
メーカーサポートが終了しているバージョン18以前のFileMaker製品をご利用のお客さまは、Claris ナレッジベースの記事を必ずご一読くださいますようお願いいたします。
Apache Log4jはJavaベースのロギングユーティリティフレームワークで、Apache Software Foundationによって提供されています。バージョン2.14.1以前のApache Log4j2には、遠隔から攻撃者が任意のコードを実行できる脆弱性が存在し、当該脆弱性がすでに攻撃に広く利用されている状況になっています。
現在サポート対象であるClaris FileMaker 19はLog4j2の脆弱性の影響はないことがClaris International Inc.によって確認されましたが、Claris ナレッジベースの記事ではメーカーサポートが終了しているバージョン18以前についてはサポート中の現行バージョンへのアップグレードを推奨するという言及に留まっています。
FileMaker ServerはカスタムWeb公開機能とFileMaker WebDirectにおいてJavaが使用されており、バージョン16以前のFileMaker Serverでは標準管理ツールであるAdmin ConsoleにもJavaが使われていました。さらに、FileMaker Server 17以前ではApache Log4j2とは別系統のApache Log4j 1系が使用されており、FMプラン17以前の弊社サービスをご利用の場合には必ずしも無関係とは言えない状況です。
2021年12月13日時点の情報からは、当該脆弱性は、Log4j 1を使用しているFileMaker Server 17以前に直接影響する可能性は低いと見られますが、完全に影響はないと断定できる状況でもありません。今後影響を受けるバージョンや条件に関する情報が変更される可能性もあるため、最新の情報は各組織から提供される関連情報をご確認ください。
なお、Clarisによるメーカーサポートが終了した製品につきましては、問題に対応するアップデータは提供されません。メーカーサポート終了製品のご利用を継続される場合には、FileMaker製品に起因して発生しうるリスクについてはお客さまが抱えてしまう状況となります。
本脆弱性が影響する可能性を少しでも回避および低減するためにも、ホスティングサービスの現行プランへの移行をご検討くださいますようお願いいたします。現行プランへの移行をご検討の際には弊社までお気軽にご相談ください。Zoomを利用したオンラインでのご相談を無料にて承ることも可能です。
この件に関しましては、追加の情報が入りましたら、随時ご案内を差し上げる次第です。
ご参考:CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響(Claris ナレッジベース)