この記事では、Apache Log4jの重大な脆弱性(CVE-2021-44228、CVE-2021-45046およびCVE-2021-45105)と、その解決策について説明しています。
この問題は、Sitecore Experience PlatformおよびSitecore Managed Cloudがサポートする検索エンジンの1つである、Apache Solrによって使用されているLog4jライブラリを利用した、リモート コード実行の脆弱性に関係しています。
弊社は、Solrを検索プロバイダーとしてご利用のお客様とパートナー様に、下記の情報に熟知していただき、影響を受ける全てのSitecoreシステムに、解決策を適用されることをお勧めします。また、お客様の環境をセキュリティに対応したバージョンに維持し、 全ての利用可能なセキュリティ修正プログラムを、遅滞なく適用いただくことを推奨いたします。
この脆弱性は、以下のSitecore製品に影響を与えます:
| Sitecore製品 | 影響 |
| Sitecore Experience Platform | + |
| Sitecore Managed Cloud | + |
| Sitecore Content Hub | - |
| Sitecore CDP および Sitecore Personalize (旧Boxever) |
- |
| Sitecore OrderCloud (旧Four51 OrderCloud) | - |
| Sitecore Storefront (旧Four51 Storefront) | - |
| Moosend | - |
| Sitecore Send | - |
| Sitecore Discover (旧Reflektion) | - |
| Sitecore Commerce Server | - |
凡例:
「+」: 脆弱性の影響あり
「-」: 脆弱性の影響なし
このセキュリティ情報は、今後更なる詳細が判明した場合、更新される場合があります。全ての更新情報の詳細な一覧は、更新履歴セクションに記載されています。
最新のセキュリティ情報に関する通知を受け取りたい場合は、セキュリティ情報を購読してください。
お客様およびパートナー様が、セキュリティ脆弱性の重大度を理解しやすくなるよう、Sitecoreではセキュリティ脆弱性の重大度の定義の記事に記載されている定義を使用してセキュリティの問題を説明いたします。
影響を受けるSitecore Experience Platformのバージョン
この脆弱性は、以下のSolrバージョンに影響を与えます。
影響を受けるSolrバージョン(7.4.0から7.7.3、8.0.0から8.11.0)、およびSolr互換表に記載されている互換性により、本問題は以下のSitecore Experience Platformバージョンで発生します。
影響を受けるSitecore Managed Cloud Standardバージョン
LogStashを含むコンテナー化環境を実行されているSitecore Managed Cloud Standardのお客様が影響を受けます。具体的な解決策は、この記事に記載されています。本件については、関係するお客様に直接お知らせしております。
影響を受けないSitecore Managed Cloud Standardバージョン
脆弱性を緩和するには、「https://solr.apache.org/security.html#apache-solr-affected-by-apache-log4j-cve-2021-44228」の記事で記載または参照されている、Solrコミュニティーによって確認されたいずれかの方法を適用してください。ただし、互換性の理由より、Solrバージョンをアップグレードする方法は利用できませんのでご注意ください。
コンテナ化環境に関しては、2021年12月20日以降にSitecoreからリリースされている全てのSolrイメージにおいて、必要な緩和策がデフォルトで適用されています。具体的には、SitecoreではSolrによって推奨されている、「log4j2.formatMsgNoLookups=true」の緩和策を適用しています。
特定のタグおよびTargetOSの一覧については、以下のsitecore-tags.mdファイルに記載されています:
https://github.com/Sitecore/docker-images/blob/master/tags/sitecore-tags.md
なお、ソリューションを最新のイメージにアップグレードした場合、追加作業を行う必要はありません。