InstallShield

11142 : Revenera(Flexera)製品での Apache Log4j の脆弱性(CVE-2021-44228)の影響について

InstallShield 製品での 「Apache Log4j の脆弱性(CVE-2021-44228)」の影響について教えてください。


[概要]

Apache Log4j の脆弱性に対する Revenera(Flexera)製品に対する影響に関して、メーカーから記事が公開されております。
今後のメーカー対応については、こちらで随時情報が更新されます。

 

Security Advisory: Log4j Java Vulnerability (CVE-2021-44228)

https://community.flexera.com/t5/Revenera-Company-News/Security-Advisory-Log4j-Java-Vulnerability-CVE-2021-44228/ba-p/216905

 

InstallShield 製品では、下記バージョンが該当しており、開発元で対応を行っております。(2021/12/15時点)

InstallShield 製品については、下記の KB にて詳細が公開されました。(2021/12/16)

CVE-2021-44228: Log4j vulnerability impact on InstallShield

https://community.flexera.com/t5/InstallShield-Knowledge-Base/CVE-2021-44228-Log4j-vulnerability-impact-on-InstallShield/ta-p/217662

 

<該当製品>
・InstallShield 2016 SP2
・InstallShield 2018、SP1、SP2

影響を受けるコンポーネントは、InstallShield 本体ではなく、Log4j2x ライブラリが含まれている FlexNetCodeAware
というツール部分となります。実際には CodeAware Log4j2x ライブラリは使用されおらず脆弱性の
影響は受けませんが、企業のセキュリティポリシーによっては、Log4j2x ファイルの存在をリスクと見なす場合
があります。

そのため、上記のバージョンをご利用の場合、[プログラムの追加と削除]で FlexNetCodeAware がインストール
されているかをご確認ください。インストールされている場合には、「FlexNet CodeAware」をアンインストールして
いただく必要がございます。
FlexNet  Code Aware をアンインストールしても、InstallShield 自体の利用に影響はございません。

 

※FlexNet  Code Aware は、製品のセキュリティや知的財産(IP)コンプライアンス リスクをスキャンする、自動オープンソース
   リスク評価およびパッケージ検出ソリューションで、上記バージョンでのみ InstallShieldと共に提供されていました。


脆弱性、セキュリティ、java
2021/12/15 13:40:00
2021/12/17 16:25:26