[Update] Apache Log4jの脆弱性につきまして

[2021/12/13 Update]

Apache Log4jRCEの脆弱性が報告されておりましたが、
AkamaiのWebセキュリティサービス(Kona Site Defender: KSD、Web Application Protector: WAP)をご利用のお客様につきまして、緊急性の高い脆弱性として、AkamaiがWAFルールの更新を行っております。
Command InjectionでDenyモードを有効にされているお客様に関しては更新されたルールにより本脆弱性の緩和が可能になっております。

[2021/12/10 掲載]

お客様各位

平素は弊社CDN(Edge Platform Powered by Akamai)をご利用いただきまして誠にありがとうございます。

[概要]
Apache Log4jRCEの脆弱性が報告されております。

お客様のオリジンで本脆弱性に該当するアプリケーション等をご利用の場合は、
回避策として最新バージョンのLog4j2を使用しアプリケーションとコンポーネントを
apache-log4j-2.15.0バージョンにアップグレードすることをお勧めします。

本脆弱性の詳細は、こちらをご参照ください。
https：//www.cyberkendra.com/2021/12/worst-log4j-rce-zeroday-dropped-on.html

オリジン側で対処ができない場合、Akamaiのセキュリティサービスをご利用のお客様は
Akamai側でカスタムWAFルールを実装して、このようなリクエストをブロックすることが可能な場合があります。

参考情報：Akamai Community : Remote code execution vulnerability in Apache Log4j2
https://community.akamai.com/customers/s/feed/0D54R00008OrRi2SAF


<お問合せ先>

障害に関するお問い合わせ: trouble-j@ntt.net
CDN全般についてのお問い合わせ: cdn-query@ntt.com