Javaベースのログ出力ライブラリ「Apache Log4j」において、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228、CVE-2021-45046)が報告されました。
その影響及び対策について、弊社取扱い製品各社から情報が下記の通り公開されていますので、参照および対策をお願い申し上げます。
※ 脆弱性の詳細については、JPCERT/CC (https://www.jpcert.or.jp/at/2021/at210050.html)含む様々な組織やセキュリティ企業が報告しているため、本ページでは割愛しております。
2021年12月20日
1)GPU、NAS製品関連
NVIDIA
https://nvidia.custhelp.com/app/answers/detail/a_id/5294
日本語↓ (抜粋版)
NVIDIA社では、Log4shellに関する脆弱性 (CVE-2021-44228 and CVE-2021-45046) に関して以下のように通知しています。
*注) NVIDIA RTX製品(旧Quadro、Tesla)とNVIDIA Driverには影響ありません。
*注) 対象となるNVIDIA製品やSDK、ツールと、その脆弱性へのリスク軽減策においては情報が更新されますため、必ず本URLより最新情報をご確認いただきたく宜しくお願い致します。
■影響するNVIDIA製品、及びリスク軽減策 (As of 12/20)
【CUDA Toolkit Visual ProfilerとCUDA Toolkit Nsight Eclipse Edition】
1. CUDA Toolkit version 11.5とそれより前のversionに含まれるVisual Profiler
CUDA Toolkit に含まれるLog4jは利用されておりませんが、Log4jファイルを削除したCUDA Toolkit を2022年1月 中旬に提供予定ですのでアップグレード してください。早期対応が必要でございましたらLog4jファイルを削除してください。
2. CUDA Toolkit version 11.0とそれより前のversionに含まれるNsight Eclipse Edition
CUDA Toolkit version 11.0 とそれ以降のversionに含まれるNsight Eclipse Plugins Editionに更新してください。
【NVIDIA DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100】
DGX OS 4とDGX OS 5
・提供されているDGX OSにLog4j Javaライブラリは含まれておりませんが、ユーザーが追加ソフトウェアとしてインストールしている可能性があります。
・脆弱性のある apache-log4j2 ソースパッケージからビルドされた liblog4j2-javaを利用されている場合には、最新versionのliblog4j2-javaに更新してください。
【vGPU software license server】
vGPU software license server version 2021.07 と version 2020.05 Update 1
Log4j Java Vulnerability (CVE-2021-44228) for Legacy vGPU Software License Server を参考にworkaroundを実行してください。
【NetQ】
NetQ Versions 2.x, 3.x, 4.0.x
NetQ Upgrade Guideを参考にアップグレードしてください。
Supermicro
https://nvidia.custhelp.com/app/answers/detail/a_id/5294
Supermicro Power Manager (SPM)に影響があり対策が示されています。
HP
https://support.hp.com/gb-en/document/ish_5285798-5285675-16
Dell
Synology
https://www.synology.com/en-global/security/advisory/Synology_SA_21_30
DDN
1)クラウド製品関連
LoginVSI
https://support.loginvsi.com/hc/en-us/articles/4412422112274-Login-VSI-and-Log4j-CVE-2021-44228
Wasabi
NICE DCV
https://download.nice-dcv.com/2021-1.html
下記製品は該当ありません
- FastX
- KerneCare
- NOMACHINE
- MorroData
以上となります。