お客様各位
お世話になっております。ビデオグサポートでございます。
日頃はビデオグをご利用いただきまして誠にありがとうございます。
この度は各ニュースサイト等にて報告されております、下記Apache Log4jの脆弱性(CVE-2021-44228)の、弊社ビデオグプラットフォームサービスとの関連をご報告申し上げます。
【概要】
弊社では当該脆弱性を2021/12/11(土)に認識、検討および対処を開始し、2021/12/13(月)中までに一次対処を完了しております。以下、詳細をご報告申し上げます。
【影響可能性の範囲】
動画配信関連のサーバーの約17%におきまして、脆弱性対象バージョンのlog4j-2.13.3の利用がありました。ただしアプリケーション・サーバーのメーカーより、深刻な影響はないとの一次アナウンスが出ております。これらのサーバーでは通常のHTMLやAPI等を処理するWebサービスは稼働しておりません。また当該サーバー群は直接データベースには接続しておらず、基本的にビデオグアカウントやIDパスワード認証アカウントのパスワードなどの重要な機密情報は取り扱っておりません。
【一次対処の概要】
アプリケーション・サーバーのメーカーより、深刻な影響はないものの、念の為としてアナウンスされた手順に従い、対処済バージョンであるlog4j-2.15.0へのバージョンアップを12/13(月)中までに完了しております。
【今後に関して】
本件脆弱性に関して、これまでのところビデオグ内で悪用の形跡は発見されておりませんが、今後メーカーより追加の情報があり次第、随時必要な対処をして参ります。なお、更に新しいバージョンのlog4j-2.16.0が本日2021/1214(火)にリリースされており、こちらの適用も社内で検討して参ります。
引き続きビデオグを何卒よろしくお願いいたします。