いわゆるLog4jの脆弱性に関して、お客様からご心配のご要望をいただいております。
Log4j はオープンソースの Java ベースの Apache ロギングフレームワークで、ソフトウェアアプリケーションで作成されたメッセージの記録や文書化に使用することができます。最近発見された脆弱性(CVE-2021-44228 および CVE-2021-45046)は、いくつかの Log4j 2.X バージョンに影響し、JNDI 構造の誤った処理により、リモートでのコード抽出を可能にします。
詳細は以下をご覧ください。
BTC EmbeddedPlatform の依存関係分析を行いました。 BTC EmbeddedPlatform は、ログ記録メカニズムとして Log4j を使用していません。
Log4j は使用されていませんが、影響を受けない Log4j 1.x バージョン
(https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45046) が、基盤となる Eclipse フレームワークを介して BTC EmbeddedPlatform のインストールの一部になっています。
したがって、当社のBTC EmbeddedPlatformは、CVE-2021-44228およびCVE-2021-45046の影響を受けないことが確認されています。