JFrog Japan Blog

DevOpsを加速する、JFrog日本法人メンバーによるブログです。

JFrog ArtifactoryやXrayといった自社ツールはもちろん、CI/CDやコンテナ技術(DockerやKubernetes)などDevOpsの一般的な内容も扱います。その他、日本でのDevOps事例紹介やお楽しみコンテンツも掲載予定です。 JFrogならではの面白くて役に立つブログを目指しますので、お楽しみに!

JFrog 製品と Apache Log4j 2 の脆弱性に関して

(このブログは GENERAL: JFrog Services Are Not Affected by Vulnerability CVE-2021-44228 の日本語訳および補足です)

On 10 December 2021, a RCE (remote code execution) exploit was exposed on several versions of the Apache Log4j 2 utility. Affected code exists in log4j core libraries: log4j-core-*.jar, versions 2.0 to 2.14.1.

2021年12月10日 Apache Log4j 2 ユーティリティのいくつかのバージョンで、RCE(リモートコード実行)の脆弱性が公開されました。 影響を受けるコードは log4j コアライブラリ: log4j-core-*.jar のバージョン2.0~2.14.1 です。

Following internal research and validation by the JFrog Security and R&D teams, we can confirm that JFrog services are not affected by this vulnerability (CVE-2021-44228). First, we have validated that JFrog services are not configured to implement the log4j-core package. Additionally, we can confirm that the JDK version used in JFrog services (e.g. Artifactory) contains default protection against remote class loading via JNDI objects. Therefore, no action is required by JFrog customers regarding this issue for JFrog solutions.

JFrog セキュリティチームと R&D チームによる内部調査と検証の結果、JFrog のサービスがこの脆弱性(CVE-2021-44228)の影響を受けていないことが確認できました。まず、JFrog のサービスが log4j-core パッケージを利用するように設定されていないことを確認しました。さらに JFrog サービス(Artifactory など)で使用されている JDK のバージョンには JNDI オブジェクトを介したリモートでのクラス読み込みに対するデフォルトの保護機能が含まれていることを確認しています。したがって、この問題に関して JFrog のお客様が特別に何か対処する必要はありません。

JFrog Security and Xray product teams have updated the Xray database with CVE information regarding this vulnerability, and this information will be available for Xray customers to assist in detection and remediation across customer portfolios.

JFrog Security と JFrog Xray製品チームは、この脆弱性に関する CVE 情報をすでに Xray データベースに更新済みです。つまり JFrog Xray をご利用のお客様は、すぐにアプリケーション全体でこの脆弱性の検出および修正の支援を受けることが可能です。

※ JFrog Xray に関して詳細を知りたい方は下記ウェビナー及びプレゼン資料を参照ください。

www.youtube.com

speakerdeck.com

JFrog has examined and validated that none of the following products reference the vulnerable libraries:

Artifactory 6.x and 7.x, and the accompanying Access service

Distribution

Mission Control

Insights

JFrog は以下の製品が脆弱性のあるライブラリを参照していないことを調査・確認しました。

  • JFrog Artifactory 6.x および 7.x、ならびに付随する Access サービス
  • JFrog Distribution
  • JFrog Mission Control
  • JFrog Insights

(訳注)JFrog Xray がリストにないのは JFrog Xray は Go で実装されているためです!