2021年12月15日にClaris ナレッジベースの記事が更新され、Claris FileMaker Server 19および18、Claris FileMaker Pro、Claris FileMaker CloudはLog4j2の脆弱性(CVE-2021-44228)の影響はないことがClaris International Inc.によって確認されました。
Apache Log4j2とは別系統のApache Log4j 1が使用されているFileMaker Server 17および16は当該脆弱性の影響は受けないことがClaris International Inc.からあわせて案内されていますが、弊社では少なくともFileMaker Server 11以降においてApache Log4j 1が使用されていることを確認しており、CVE-2021-44228より危険性は低いもののApache Log4j 1には別の脆弱性(CVE-2021-4104およびCVE-2019-17571)が見つかっていることが判明しています。
そのため、FMプラン17以前のプランにおいてそれらの脆弱性による危険性を低減するための緩和策として、Apache Log4j 1のJARファイル内に存在する攻撃条件の要素となり得る一部のファイルを削除するためにサーバーの緊急メンテナンスを実施いたしました。
- 対象サーバー:FMプラン17以前
- 作業日時:2021年12月16日(木)15時から16時15分まで(24時間表記)
- 作業内容:Apache Log4j 1に含まれる一部クラスファイルの削除およびWeb公開エンジンならびにAdmin Consoleサーバーの再起動
- お客さまへの影響:Web公開エンジンおよびAdmin Consoleサーバーの再起動に伴い、上記作業日時の時間帯においてFileMaker WebDirect、カスタムWeb公開機能およびAdmin Consoleサーバーがおおよそ10秒程度一時停止いたしました。
- 2021年12月15日時点の情報からはFileMaker ServerのWeb公開エンジンやAdmin ConsoleはLog4j2の脆弱性(CVE-2021-44228)の影響を直接受けないと推測されますが、念のための緩和策として実施したメンテナンスとなります。
作業完了後のご報告となってしまい誠に恐縮ですが、どうぞご理解いただけますようお願い申し上げます。また、FileMaker WebDirectやカスタムWeb公開機能をご利用の場合には、念のためシステムが正常に動作しているか動作のご確認をお願いいたします。
今後影響を受けるバージョンや条件に関する情報が変更される可能性もあるため、最新の情報は各組織から提供される関連情報をご確認ください。
Apache Log4j 1は2015年にサポートがすでに終了しているソフトウェアであり、本脆弱性の根本的な解決にはバージョン18以降へのバージョンアップが必要となります。この機会にホスティングサービスの現行プランへの移行をご検討くださいますようお願いいたします。現行プランへの移行をご検討の際には弊社までお気軽にご相談ください。Zoomを利用したオンラインでのご相談を無料にて承ることも可能です。
[ご参考]
- CVE-2021-44228 - Apache Log4j 脆弱性の Claris 製品への影響(Claris ナレッジベース)
- Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(一般社団法人JPCERTコーディネーションセンター)