弊社取扱い製品における「Apache Log4j」の影響と対策について

Javaベースのログ出力ライブラリ「Apache Log4j」において、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228、CVE-2021-45046)が報告されました。
その影響及び対策について、弊社取扱い製品各社から情報が下記の通り公開されていますので、参照および対策をお願い申し上げます。

※ 脆弱性の詳細については、JPCERT/CC （https://www.jpcert.or.jp/at/2021/at210050.html）含む様々な組織やセキュリティ企業が報告しているため、本ページでは割愛しております。
2021年12月20日

１）GPU、NAS製品関連

NVIDIA

https://nvidia.custhelp.com/app/answers/detail/a_id/5294

日本語↓ （抜粋版）
NVIDIA社では、Log4shellに関する脆弱性 (CVE-2021-44228 and CVE-2021-45046) に関して以下のように通知しています。

＊注) NVIDIA RTX製品(旧Quadro、Tesla)とNVIDIA Driverには影響ありません。
＊注) 対象となるNVIDIA製品やSDK、ツールと、その脆弱性へのリスク軽減策においては情報が更新されますため、必ず本URLより最新情報をご確認いただきたく宜しくお願い致します。

■影響するNVIDIA製品、及びリスク軽減策 (As of 12/20)

【CUDA Toolkit Visual ProfilerとCUDA Toolkit Nsight Eclipse Edition】
　1.　CUDA Toolkit version 11.5とそれより前のversionに含まれるVisual Profiler
CUDA Toolkit に含まれるLog4jは利用されておりませんが、Log4jファイルを削除したCUDA Toolkit を2022年1月　中旬に提供予定ですのでアップグレード　してください。早期対応が必要でございましたらLog4jファイルを削除してください。

　2.　CUDA Toolkit version 11.0とそれより前のversionに含まれるNsight Eclipse Edition
CUDA Toolkit version 11.0 とそれ以降のversionに含まれるNsight Eclipse Plugins Editionに更新してください。

【NVIDIA DGX-1、DGX-2、DGX A100、DGX Station、DGX Station A100】
　DGX OS 4とDGX OS 5
・提供されているDGX OSにLog4j Javaライブラリは含まれておりませんが、ユーザーが追加ソフトウェアとしてインストールしている可能性があります。
・脆弱性のある apache-log4j2 ソースパッケージからビルドされた liblog4j2-javaを利用されている場合には、最新versionのliblog4j2-javaに更新してください。

【vGPU software license server】
　vGPU software license server version 2021.07 と version 2020.05 Update 1
Log4j Java Vulnerability (CVE-2021-44228) for Legacy vGPU Software License Server を参考にworkaroundを実行してください。

【NetQ】
　NetQ Versions 2.x, 3.x, 4.0.x
　NetQ Upgrade Guideを参考にアップグレードしてください。