Apache Log4j2 脆弱性に関するお知らせ

Log4j2 に関するお知らせ

CData セキュリティチームは、Log4j の脆弱性に関して製品の徹底的なレビューを実施しました。調査の結果、Log4j を参照している CData 製品には、この脆弱性の影響を受けないと思われる旧バージョンの Log4j が含まれていることが判明しました。しかし、万全を期すため、影響を受ける製品から Log4j の依存関係を完全に削除しました。

CData 製品ポートフォリオの中で Log4j への参照を含むのは、CData Drivers for Kafka と CData ArcESB（Java 版）の2つのみです。最新バージョンでは両製品から Log4j への参照がすべて削除されており、新しいビルドは以下から今すぐダウンロードいただけます：

• CData Drivers for Kafka: https://jp.cdata.com//drivers/kafka/download/
• ArcESB: https://www.arcesb.com/download/

ArcESB のアップデート

ArcESB 2020 およびそれ以前の RSSBus Connect（RSSBus Connect 2016 ～ 2019）には Log4j への参照が含まれておらず、この脆弱性の影響を受けません。同様に、ArcESB 2021 の Windows 版にも Log4j の脆弱性を含むアセンブリは含まれていません。

Windows/.NET 版の ArcESB、または Java 版のバージョン 21.0.7963.0 より前のリリースをお使いの場合は、変更なしでそのままご利用いただけます。 ArcESB 2021 の Java 版の最近のリリース（21.0.7963.0 以降）では、Apache Kafka と統合するための Kafka コネクタのサポートが追加されました。このコネクタには、セキュリティ脆弱性が発見された log4j-1.2.17.jar が組み込まれています。開発チームのレビューでは、このコードが悪用可能とは考えられませんが、この組み込み jar を削除した Kafka JDBC ドライバーの新しいビルドを近日中に公開する予定です。

ArcESB 2021 Java Edition（21.0.7963.0 以降）の既存のディストリビューションをお使いの方は、Java サーブレットコンテナの lib フォルダから cdata.jdbc.apachekafka.jar を削除することで、この脆弱性への懸念を解消できます。