VPLEX:VPLEXとVPLEX Cluster WitnessはApache Log4shellの脆弱性の影響を受けない

概要: この記事は、Dell EMC VPLEXとCluster Witnessにおいては、最近発生したApache Log4shellの脆弱性(CVE-2021-44228)の影響を受けないことを、お客様とDellの従業員にお知らせするものです。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Apache Log4jリモート コード実行の脆弱性は、悪意のあるユーザーによって悪用され、対象システムが侵害される恐れがあります。このコードをシステムに対して実行すると、不正アクセスが可能であるかを確認し、log4jの問題に対して脆弱であることが判明したシステム上で有害なコードを実行することができます。

原因

Apache Log4j2 2.0-beta9~2.15.0(セキュリティ リリース2.12.2、2.12.3、2.3.1を除く)では、構成、ログ メッセージ、パラメーターで使用されるJNDI機能で、攻撃者に制御されたLDAPやその他のLDAP関連エンドポイントは保護されません。ログ メッセージまたはログ メッセージ パラメーターを制御できる攻撃者は、メッセージ検索置換が有効になっている場合に、LDAPサーバーからロードされた任意のコードを実行できます。log4j 2.15.0から、この動作はデフォルトで無効になっています。バージョン2.16.0(2.12.2、2.12.3、2.3.1に加えて)から、この機能は完全に削除されました。この脆弱性は、log4j-coreに固有のものであり、log4net、log4cxx、その他のApache Logging Servicesプロジェクトには影響しない点に注意してください。

解決方法

Dell EMC VPLEX GeoSynchrony 6.2.xは、Apache Log4jバージョン1.2.17で実行されており、この問題に対して脆弱ではありません。そのため、VPLEXまたはVPLEX Cluster Witnessに対してこれ以上のアクションは必要ありません。また、6.2.xより前のすべてのバージョンは、現在の脆弱性の影響を受けないlog4jバージョンを実行しています。

その他の情報

Apache log4jの脆弱性に関するその他のDell EMC製品の詳細については、DSA KBA 000194414「Apache Log4jリモート コード実行の脆弱性に対するDellの対応(CVE-2021-44228)(英語)」を参照してください。

対象製品

VPLEX GeoSynchrony, VPLEX Series, VPLEX VS2, VPLEX VS6
文書のプロパティ
文書番号: 000194800
文書の種類: Solution
最終更新: 12 5月 2026
バージョン:  6
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。