Apache Log4j ライブラリの脆弱性に対する弊社製品への影響について

2021年12月11日に JPCERTコーディネーションセンターより発表されました、Apache Log4j ライブラリの脆弱性につきまして、Quickスキャンへの影響および対応方針を下記の通りご報告申し上げます。

1.影響を受ける製品
　弊社MFP製品では、以下のモジュールで使用しております。
　※当製品はWindows OS（対応OS）が搭載されたPC/サーバーに導入するQuickスキャンのエージェントツールとなります。

• (1)QuickエージェントV2(Apache Log4jV2)

• (2)QuickエージェントV1(Apache Log4jV1)

2.対応方針
　(1)QuickエージェントV2(Apache Log4jV2)
　2021年12月21日（火）にリリース済のQuickエージェントV2.8.3.1にて修正対応を完了しました。
　※2021年12月20日時点で報告された脆弱性に対応したLog4j 2.17.0へ差替え済

　QuickエージェントV2.8.3以下のリビジョンをご利用中のお客様におかれましては弊社MFPサポートサイト(https://mfp-support.sios.jp/)よりモジュールをダウンロード後、上書きインストールをお願い申し上げます。

(2)QuickエージェントV1(Apache Log4jV1)
　2021年12月21日現時点ではApache Log4jV1（QuickエージェントV1で利用中）の影響が限定的であること、QuickエージェントV1はJMSAppenderを無効に設定していることもあり、修正対応を予定しておりません。
　ただし、脆弱性に関して影響度が大きいと判断された際は別途対応を行う予定です。

【参考】～Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)に関する注意喚起～

JPCERTコーディネーションセンター
URL　https://www.jpcert.or.jp/at/2021.html