Apache Log4j の脆弱性(CVE-2021-44228)に関するご案内

** 更新:2022/01/XX 追記 ************
Jtest とDTP について、本問題に対応したモジュールをリリースいたしました。
Jtest ユーザーサポートページからモジュールをダウンロードいただけます。
・Jtest 2021.1.1
・DTP 2021.1.1

************************************
** 更新:2021/12/22 追記 ************
本問題に対応したモジュールをリリースいたします。
日本でリリース済みの Jtest 2021.1、DTP 2021.1につきましては、1月中旬のリリースを
予定しております。リリースまでは後述の回避策の適用をお願いいたします。

また、今後日本でリリースを予定している以下製品につきましては、
本問題に対応済みのモジュールをリリースいたします。
・C++test 2021.2
・dotTEST 2021.2
・DTP 2021.2
・SOAtest/Virtualize 2021.2

上記の更新版モジュールには、CVE-2021-44228に対応済みの
Log4j 2.16.0が含まれています。

なお、Log4j 2.16.0には2021年12月18日に公開されたCVE-2021-45105の対応が
含まれませんが、Parasoft製品はCVE-2021-45105の影響を受けないことを確認
しております。後述の回避策に関しても同様に影響を受けないことを確認しています。
************************************

Apache Log4jに任意のコード実行の脆弱性(CVE-2021-44228)が確認されました。
JPCERT:https://www.jpcert.or.jp/at/2021/at210050.html
NIST :https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Apache Log4jはJava向けのロギングライブラリであり、Parasoft製品でも利用されています。
影響を受ける製品、および該当製品における対処方法をご案内いたします。

影響を受ける製品、およびバージョン

C++test 2021.1, 2021.2
Jtest 2021.1, 2021.2
dotTEST 2021.1, 2021.2
DTP 2021.1, 2021.2
SOAtest/Virtualize 2021.1, 2021.2

※2021.2は近日中に日本でリリースを予定しているバージョンです。

上記には、log4j 2.14.0が含まれます。
これより古いモジュールには、本脆弱性の影響を受けないlog4j 1.xが含まれています。

回避策

本脆弱性の悪用を防ぐ回避策として、JVMパラメータまたは環境変数の設定を行う対応が公開されております。

  • C++test/Jtest/dotTest/SOAtest/Virtualize
    • 以下の環境変数を設定します。
      LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  • DTP
    • Windows
      1. <DTPインストールディレクトリ>\bin\variables をエディタで開きます。
      2. 以下のように変数DTP_JAVA_OPTS、DC_JAVA_OPTSに
        -Dlog4j2.formatMsgNoLookups=true を追加します。
        DTP_JAVA_OPTS=-Xms1024m -Xmx4096m -XX:+HeapDumpOnOutOfMemoryError -Dlog4j2.formatMsgNoLookups=true -Djava.util.Arrays.useLegacyMergeSort=true -Dscontrol.ext.dir="!DTP_HOME!\plugins\scontrol" -DuseExternalLock=false -Dsun.jnu.encoding=UTF-8 -Dfile.encoding=UTF-8 
        
        DC_JAVA_OPTS=-Xms1024m -Xmx4096m -XX:+HeapDumpOnOutOfMemoryError -Dlog4j2.formatMsgNoLookups=true  -Djava.util.Arrays.useLegacyMergeSort=true -Dsun.jnu.encoding=UTF-8 -Dfile.encoding=UTF-8 -DuseExternalLock=false -Dcom.parasoft.sdm.dc.build.details.to.keep=2
      3. DTP serverとData Collector servicesを再起動します。
    • Linux
      1. <DTPインストールディレクトリ>/bin/variables をエディタで開きます。
      2. 以下のように変数ENCODING_VARSに
        -Dlog4j2.formatMsgNoLookups=true を追加します。
        ENCODING_VARS=" -Dlog4j2.formatMsgNoLookups=true -Dsun.jnu.encoding=UTF-8 -Dfile.encoding=UTF-8 "
      3. DTP serverとData Collector servicesを再起動します。
Top