MassLynx またはその関連する解析ソフトウェアは、log4j (CVE-2021-44228) の脆弱性の影響を受けますか？ - WKB224560

環境

• MassLynx 4.2
• MassLynx 4.1

回答

Apache Log4j の脆弱性更新、2022 年 2 月 3 日

Waters は、「ゼロデイ」の脆弱性 (CVE-2021-44228) を認識しています。これは、2021 年 12 月 9 日にセキュリティ研究者によって報告され、一般的なソフトウェアパッケージ (Apache log4j) に影響を与えます。log4j は Web アプリケーションおよびクラウドサービスプロバイダーにわたって広く使用されているため、この脆弱性が発生する完全な範囲は複雑であり、その影響はまだ特定されていません。Waters の製品およびエンジニアチームは、この問題を調査しています。Waters は必要に応じて、log4j の脆弱性に関する更新情報を提供し、評価が完了したら、お客様に通知します。

初期調査の一環として、以下の Waters MassLynx ソフトウェアおよびその関連コンポーネントが、Apache log4j 脆弱性の影響を受けないことが確認されています。

以下の Waters ソフトウェアに対して、log4j*.jar ファイルの存在を分析しました：

• MassLynx 4.2。（MassLynx インストーラーからの FractionLynx、IonLynx、TargetLynx、OpenLynx、ChromaLynx、MetaboLynx、BioLynx、Maxent オプションを含む）
• MassFragment
• Driftscope 3.0
• BiopharmaLynx 1.3.5
• MSe Dataviewer 2.0
• Progenesis QI
• Progenesis QI for Proteomics
• Symphony
• HDI1.6、
• DynamX3.0
• HDMS Compare 2.0
• PromassBridge 1.2
• LiveID1.2
• MassLynx Skyline Interface 1.2
• Waters Compression and Noise Reduction Tool (SCN968)
• PLGS3.0.3
• Driver Pack 2021 R1

これらのソフトウェアコンポーネントのうち、PLGS3.0.3 インストールフォルダーのみに log4j jar ファイルが含まれています。PLGS はバージョン log4j 1.2.17 を使用します。このバージョンは、Apache から最新に発行されたセキュリティ警告にある log4j の脆弱性バージョンとしてリストされていません (https://logging.apache.org/log4j/2.x/security.html)。Log4j 1.2.17.jar には、報告された脆弱性に関連する JMSAppender.class ファイルが含まれていません。

追加情報