[セキュリティ情報] Apache Log4j脆弱性に影響するシュナイダーエレクトリック製品と対策について (2021年12月公開)

2021年12月に公開されたApache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリApache Log4j脆弱性について
CVE-2021-44228にて報告されている当社製品への影響とその対策を以下の通りご案内します。
本ページの説明は新しい情報があり次第、更新されます。
なお、本ページは、シュナイダーエレクトリックのグローバルWEBサイト(英語) を基に公開しています。
*最新情報を確認したい場合はグローバルWEBサイト(英語)を参照ください。

製品	対象 バージョン	CVEs	対策
PowerChute Business Edition	v10.0 v10.0.1 v10.0.2 v10.0.3	CVE2021-44228 CVE-2021-45046	本脆弱性に対するエクスプロイトのリスクを回避するため、 PowerChute Business Edition v10.0.5に アップデートしてください。
PowerChute Network Shutdown	v4.1 *1 v4.2 *1 v4.3 v4.4	CVE2021-44228 CVE-2021-45046	v4.4, v4.3に対して本脆弱性に対する回避策は こちら のページを参照してください。 v4.2, v.4.1に対してリスクを回避するため緩和策は こちら のページを参照してください。
EcoStruxure IT Gateway	V1.5.0 - V1.13.0	CVE2021-44228 CVE-2021-45046	EcoStruxure IT GatewayをVersion 1.13.1.5にアッデート。 EcoStruxure ITのWebインタフェースの画面で、 Version 1.13.1.5にアッデートされているか確認できます。 更新する場合は、A,Bのどちらかの方法になります。 A. EcoStruxure ITのWebインタフェース画面 ⇒左タブ「管理」⇒右上タブ「ゲートウェイ」 ⇒「更新」をクリック B. EcoStruxure IT Gatewayをダウンロード ダウンロード方法はこちら を参照ください。
EcoStruxure IT Expert	N/A	CVE2021-44228 CVE-2021- 45046	クラウドベースのEcoStruxure IT Expertは、 対策済みのlog4j V2.16にアップデートされております。 お客様によるアップデートは必要ありません。
NetBotz 750/755	v5.0-v5.3.0	CVE2021-44228 CVE2021-45046	調査中

上記以外の製品については、Apache Log4j脆弱性の影響を受けないことを確認しております。以下に代表的な製品を記載します。
●    APC BK、ES、RS、Smart-UPS、SecureUPS、Symmetra、Galaxyシリーズを含む各UPS
●    SurgeArrestシリーズを含むサージ保護機器
●    Network Management Card各製品
●    ラック、ラックマントPDU、ラックATS、KVM、LCDコンソール各製品
●    StruxureWare Data Center Expert、Data Center Operation各製品
●    EcoStruxure IT Advisor
●    InRow、EcoAisle、Uniflairシリーズを含む各空調製品

*1 PowerChute Network Shutdown v4.1, v4.2はすでにサポート終了しているバージョンです。
理論的には対策を実施することで解消されますが、弊社では試験やサポートをしていないことを予めご理解ください。

----------

【参考】
● PowerChute Business Edition v10.0.5へのアップデート
Club APC, Partner Club APCにアクセスし、表示されているv10.0.5をダウンロードしてください。

公開先:Schneider Electric 日本