InstallShield 製品での 「Apache Log4j の脆弱性(CVE-2021-44228)」の影響について教えてください。
[概要]
Apache Log4j の脆弱性に対する Revenera(Flexera)製品に対する影響に関して、メーカーから記事が公開されております。
今後のメーカー対応については、こちらで随時情報が更新されます。
Security Advisory: Log4j Java Vulnerability (CVE-2021-44228)
InstallShield 製品では、下記バージョンが該当しており、開発元で対応を行っております。(2021/12/15時点)
InstallShield 製品については、下記の KB にて詳細が公開されました。(2021/12/16)
CVE-2021-44228: Log4j vulnerability impact on InstallShield
<該当製品>
・InstallShield 2016 SP2
・InstallShield 2018、SP1、SP2
影響を受けるコンポーネントは、InstallShield 本体ではなく、Log4j2x ライブラリが含まれている FlexNetCodeAware
というツール部分となります。実際には CodeAware Log4j2x ライブラリは使用されおらず脆弱性の
影響は受けませんが、企業のセキュリティポリシーによっては、Log4j2x ファイルの存在をリスクと見なす場合
があります。
そのため、上記のバージョンをご利用の場合、[プログラムの追加と削除]で FlexNetCodeAware がインストール
されているかをご確認ください。インストールされている場合には、「FlexNet CodeAware」をアンインストールして
いただく必要がございます。
FlexNet Code Aware をアンインストールしても、InstallShield 自体の利用に影響はございません。
※FlexNet Code Aware は、製品のセキュリティや知的財産(IP)コンプライアンス リスクをスキャンする、自動オープンソース
リスク評価およびパッケージ検出ソリューションで、上記バージョンでのみ InstallShieldと共に提供されていました。