あらゆるところで使われている共通のソフトウェアインフラにおける深刻な欠陥は、これまでも何度か発見されてきています。このような欠陥が発見された場合、MarkLogicなどのベンダーは、それによりどのような影響があるのか、誰が影響を受ける可能性があるのかを把握し、できるだけ早く通知する必要があります。
今回、エラーログを記録するJavaライブラリとして広く使われているLog4jに、このような欠陥が発見されました。理論的には、攻撃者がリモートでコードを実行可能なため、この問題は深刻です。
Log4jライブラリはMarkLogicサーバー内では直接使用されていないため、データベースのセキュリティには影響しません。しかし、Log4jはMarkLogicを使用しているお客様の環境、特にAWS上のマネージドクラスタの一部として使用されているため、非常に重要な問題となります。
簡単な要約はこちらのナレッジベースに掲載されており、お客様の環境に影響があるかどうかを判断するためのすべての手順も掲載されています。
最後になりますが、MarkLogicをお使いいただいていること、また弊社に皆様のお手伝いをさせていただけることに改めて感謝いたします。
よくある質問:
この問題は、MarkLogicデータベースのセキュリティに影響を与えますか。
いいえ、影響はありません。しかし、データベースが実行されている環境に侵入される可能性があるため、重要な問題だと考えられます。
問題がある環境コンポーネントについて、新しいバージョン、または他の改善策がありますか。
あります。影響を受けていると思われる場合は、MarkLogicのサポートにご連絡ください。
侵入の報告はありますか。
いいえ、現時点ではありません。しかし、これは重大な欠陥であり、近いうちに悪用される可能性があります。
チャック・ホリス
2021年に、ポートフォリオマネジメント担当SVPとして、オラクルからMarkLogicに入社しました。オラクル以前は、VMwareで仮想ストレージに取り組んでいました。VMware以前は、EMCで約20年間、さまざまな分野、製品、アライアンスのリーダーを担当していました。
チャックは妻と3匹の犬と一緒に、フロリダ州ベロビーチに住んでいます。彼はIT業界を形成するような大きなアイデアを議論することを好んでいます。