コンテンツへスキップ

log4jの重大な脆弱性発見におけるCordaへの影響について

2021年12月13日
SBI R3 Japan株式会社

<2022年 2月10日追記>

Corda Enterprise 4.8について、log4jの依存関係が新たにアップグレードされた、パッチバージョンCE 4.8.6がリリースされました。
※CE 4.8.6にはlog4j v2.17.1への依存関係のアップグレードの他にフローや台帳に関するマイナーな問題の修正が含まれています。

【SBI R3 Japan】
https://support.sbir3japan.co.jp/hc/ja/articles/4417300576281-Corda-Enterprise-4-8-6-%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9%E3%83%8E%E3%83%BC%E3%83%88-Log4%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E5%BF%9C-

【R3】
https://docs.r3.com/en/release-notes.html

<2022年 1月28日追記>

Corda Enterprise 4.4から4.7について、log4jの脆弱性に対して新たにLog4j v2.17.1が含まれたパッチバージョンがリリースされました。Corda Enterprise 4.8のパッチバージョンにつきましては2月上旬のリリースを予定しております。

【SBI R3 Japan】
https://support.sbir3japan.co.jp/hc/ja/categories/4403930893081-%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9%E3%83%8E%E3%83%BC%E3%83%88
【R3】
https://docs.r3.com/en/release-notes.html

<2022年 1月19日追記>

Corda Enterprise 4.3から4.8について、log4jの脆弱性に対するパッチリリースの日本語翻訳を公開いたしました
 
【SBI R3 Japan】
https://support.sbir3japan.co.jp/hc/ja/categories/4403930893081-%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9%E3%83%8E%E3%83%BC%E3%83%88
【R3 】
https://docs.r3.com/en/release-notes.html
 

<2021年12月21日追記>

log4j の最新のパッチリリースであるlog4j 2.17.0につきまして、CordaによるJavaシリアル化の明示的な無効化が脆弱性に対して効果的であるためCordaのLog4j 2.17.0(またはその時点での最新バージョン)へのアップデートは2022年1月末に利用可能になる予定とのアナウンスがR3よりでております。
最新のリリーススケジュールはこちら
【R3 サイト】
https://docs.r3.com/en/release-notes.html
【log4j サイト】
https://logging.apache.org/log4j/2.x/security.html
※ブラウザにキャッシュが残っている場合、以前のリリースノートが表示されてしまう可能性があります。その場合は、お手数ですが一度キャッシュをクリアしてからアクセスくださいませ。

<2021年12月17日追記②>

Corda OS 4.3、Corda OS 4.4、Corda OS 4.5、Corda OS 4.7についてlog4jの脆弱性に対するパッチがリリースされました。

OS 4.4.10
https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.4.10/
OS 4.5.8
https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.5.8/
OS 4.7.5
https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.7.5/
※同一のマイナーバージョンにパッチを適用する場合(例:4.6.1に4.6.7を適用)はgracefulShutdownコマンドを利用するなどして安全にノードを停止した後、corda.jarをリプレイスし、Cordaノードを再起動します。
※CordaEnterpriseのパッチダウンロードについては対象のお客様に個別にご連絡差し上げます。
Corda OS 4.3につきましてはGithubから取得し、ご自身でビルドして頂く必要がございます。(https://github.com/corda/corda
最新のリリーススケジュールはこちら
https://docs.r3.com/en/release-notes.html
※ブラウザにキャッシュが残っている場合、以前のリリースノートが表示されてしまう可能性があります。その場合は、お手数ですが一度キャッシュをクリアしてからアクセスくださいませ。

<2021年12月17日追記>

log4jの脆弱性に対し、パッチCorda OS 4.6.7、Corda OS 4.8.5がリリースされました。
Corda OS 4.8.5 has also been published : https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.8.5/
Corda OS 4.6.7 has also been published: https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.6.7/

※同一のメジャーバージョンにパッチを適用する場合(例:4.6.1に4.6.7を適用)はgracefulShutdownコマンドを利用するなどして安全にノードを停止した後、corda.jarをリプレイスし、Cordaノードを再起動します。

※CordaEnterpriseのパッチダウンロードについては対象のお客様に個別にご連絡差し上げます。
最新のリリーススケジュールはこちら
https://docs.r3.com/en/release-notes.html

※ブラウザにキャッシュが残っている場合、以前のリリースノートが表示されてしまう可能性があります。その場合は、お手数ですが一度キャッシュをクリアしてからアクセスくださいませ。

<2021年12月16日追記>

【重要更新事項】先日リリースされましたJavaのロギングライブラリのApache Log4j 2.15.0について、再度重大な脆弱性が発見されました。
(下記ページの「III. 対策」の「更新: 2021年12月15日追記」をご覧ください)
https://www.jpcert.or.jp/at/2021/at210050.html
先日Cordaのパッチリリースをご案内いたしましたが、R3はこの問題を踏まえ再度新たなパッチを準備しています。
(リリース予定日が変更になっています。)
詳細な情報は追ってご連絡いたします。
<パッチリリース予定日(更新)>
Corda OS / CE 4.8.5    12月16日
Corda OS / CE 4.6.7 12月16日
Corda OS / CE 4.5.8 12月17日
Corda OS / CE 4.7.5 12月17日
Corda OS / CE 4.4.10  12月20日
Corda OS / CE 4.3.10  12月20日
CENM 1.2.5                   12月17日
CENM 1.5.3                   12月17日
CENM 1.3.4                   12月20日
CENM 1.4.3                   12月20日

※最新のリリース予定日はこちら
https://docs.r3.com/en/release-notes.html

※ブラウザにキャッシュが残っている場合、以前のリリースノートが表示されてしまう可能性があります。
その場合は、お手数ですが一度キャッシュをクリアしてからアクセスくださいませ。

<2021年12月15日追記>

Corda OS 4.6、Corda OS 4.8についてlog4jの脆弱性に対するパッチがリリースされました。

Corda OS 4.6.6 : https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.6.6/
Corda OS 4.8.4 : https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.8.4/

同一のメジャーバージョンにパッチを適用する場合(例:4.6.1に4.6.6を適用)はgracefulShutdownコマンドを利用するなどして安全にノードを停止した後、corda.jarをリプレイスし、Cordaノードを再起動します。

<2021年12月14日追記> 

R3より標記に係る情報が発信されております。

<R3サイトURL>
https://docs.r3.com/en/release-notes.html

<Corda OS / ENT4.3以降およびCENM1.3以降をお使いの場合>
log4j2.formatMsgNoLookupsJavaプロパティを使用します。次のようにCordaを実行するときにJavaパラメータとして指定する場合は、このプロパティをtrueに設定します。
java -jar corda.jar -Dlog4j2.formatMsgNoLookups=true

または、同じ効果を持つシステム環境変数を構成することもできます。
たとえば、Linuxの場合:
export LOG4J_FORMAT_MSG_NO_LOOKUPS=true

どちらの場合も、これらの緩和策を有効にするには、Cordaノードを再起動する必要があります。また、パッチのリリース予定は下記となります。

<Corda OS / ENT4.3以降およびCENM1.3以降をお使いの場合>
Corda OS / CE 4.8.4  12月14日  
Corda OS / CE 4.6.6  12月14日  
Corda OS / CE 4.5.7  12月15日  
Corda OS / CE 4.7.4  12月15日  
Corda OS / CE 4.4.9  12月16日  
Corda OS / CE 4.3.9  12月16日

<2021年12月13日>

Javaのライブラリの1つであるlog4jについて重大な脆弱性が発見されました。
https://www.jpcert.or.jp/at/2021/at210050.html

本件につきまして、Cordaにも影響がございますのでご注意ください。今後のパッチの提供等の情報につきましては確定次第またご連絡いたします。

以上Corda OS 4.4、Corda OS 4.5、Corda OS 4.7についてlog4jの脆弱性に対するパッチがリリースされました。

OS 4.4.10
https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.4.10/
OS 4.5.8
https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.5.8/
OS 4.7.5
https://software.r3.com/artifactory/corda-releases/net/corda/corda/4.7.5/
※同一のマイナーバージョンにパッチを適用する場合(例:4.6.1に4.6.7を適用)はgracefulShutdownコマンドを利用するなどして安全にノードを停止した後、corda.jarをリプレイスし、Cordaノードを再起動します。
※CordaEnterpriseのパッチダウンロードについては対象のお客様に個別にご連絡差し上げます。
Corda OS 4.3につきましてはGithubから取得し、ご自身でビルドし頂く必要がございます。(https://github.com/corda/corda
最新のリリーススケジュールはこちら
https://docs.r3.com/en/release-notes.html
※ブラウザにキャッシュが残っている場合、以前のリリースノートが表示されてしまう可能性があります。その場合は、お手数ですが一度キャッシュをクリアしてからアクセスくださいませ。