脆弱性
最終更新日 :
2022年2月9日
Adobe ColdFusion では、内部ログ機能に Log4j を使用しています。現在使用しているインスタンスは log4j-1.2.15 です。log4j-1.x は現在 EOL の状態にあるとともに、Log4Shell に起因する数々の脆弱性が log4j で最近明らかになったので、アドビでは、log4j-1.x および 2.x で報告されている脆弱性をすべて調べて、リスクにさらされる度合いを評価しました。
幸いなことに、Adobe ColdFusion は log4j-1.x のこうした脆弱性のリスクにはさらされていませんでした。
報告されている脆弱性のほとんどは log4j-1.x に影響を与えることはありませんでしたが、Log4j の脆弱性に対する懸念が高まっているので、アドビでは、ColdFusion で使用している log4j-1.2.15 の該当する脆弱性を、以下の最新セキュリティアップデートの一環として緩和しました。
- ColdFusion(2021 リリース)アップデート 3(2021/12/17 にリリース)
- ColdFusion(2018 リリース)アップデート 13(2021/12/17 にリリース)
分析対象となった各リリースの脆弱性とその重大度の一覧を次の表に示します。
|
重大度 |
---|---|
高 |
|
高 |
|
重大 |
|
中 |
|
中 |
|
中 |
|
低 |
注意:セキュリティ情報で公表した log4j-2.x インスタンスに対するリスクについては、既に対応しました。