# Nexthink と Log4j

## 質問 <a href="#nexthinkandlog4j-question" id="nexthinkandlog4j-question"></a>

Nexthink Experienceは最近公開されたLog4jに関するセキュリティ問題に脆弱ですか？

## 回答 <a href="#nexthinkandlog4j-answer" id="nexthinkandlog4j-answer"></a>

Nexthink Experienceの詳細なセキュリティ評価を行った結果、Log4jに一時的に依存しているサードパーティのLibraryがcloudプラットフォームに存在することが判明しました。

Libraryは使用されていなかったため悪用されることはありませんが、予防措置としてサードパーティのLibraryにパッチを適用する選択がなされました。

CollectorやFinderなどのNexthink ExperienceクライアントサイドのApplicationsはJavaで記述されていないため、この脆弱性の影響は受けません。

Nexthinkは、サブプロセッサーと共に脆弱性評価を実施し、そのサービスが脆弱性に対して保護されていることを確認しました。 そのため、我々のcloudプラットフォームのサブプロセッサーが脆弱でないか、またはパッチが適用されていることを確認できます。

## 緩和策 <a href="#nexthinkandlog4j-mitigatingactions" id="nexthinkandlog4j-mitigatingactions"></a>

予防措置として、NexthinkはサードパーティのLibraryをパッチするためのメンテナンスリリースを展開しました。 すべてのバックエンドコンポーネントにパッチが成功裏に適用され、12月16日に完了しました。

## エグゼクティブサマリー <a href="#nexthinkandlog4j-executivesummary" id="nexthinkandlog4j-executivesummary"></a>

リモートコード実行の脆弱性が2021年12月9日に公にされた。 Log4jオープンソースLibraryは、最も人気のあるJavaロギングフレームワークの一つです。 この脆弱性は、バージョン2.0から2.14.1までのLog4jを使用しているすべてのJavaアプリケーションに影響を与えます。

## 脆弱性情報 <a href="#nexthinkandlog4j-vulnerabilityinformation" id="nexthinkandlog4j-vulnerabilityinformation"></a>

CVEについての追加情報を以下でご確認ください。

* [NIST CVE-2021-44228](https://nvd.nist.gov/vuln/detail/CVE-2021-44228)
* [Apache Log4j セキュリティ脆弱性](https://logging.apache.org/log4j/2.x/security.md)

## 影響を受けたソフトウェア <a href="#nexthinkandlog4j-affectedsoftware" id="nexthinkandlog4j-affectedsoftware"></a>

* NexthinkのサードパーティLibrary

## 免責事項 <a href="#nexthinkandlog4j-disclaimer" id="nexthinkandlog4j-disclaimer"></a>

このソフトウェアの使用は、適用される使用許諾契約および有効なドキュメントの条件に従うものとします。 この情報は「現状のまま」で提供されており、いかなる種類の保証もありません。

## 改訂 <a href="#nexthinkandlog4j-revision" id="nexthinkandlog4j-revision"></a>

初版リリース