MassLynx またはその関連する解析ソフトウェアは、log4j (CVE-2021-44228) の脆弱性の影響を受けますか？ - WKB224560

環境

• MassLynx
• ProteinLynx Global Server
• FractionLynx
• IonLynx
• TargetLynx
• OpenLynx
• ChromaLynx
• MetaboLynx
• BioLynx
• MaxEnt

回答

以下の Waters MassLynx ソフトウェアおよびその関連コンポーネントが、Apache log4j の脆弱性の影響を受けないことが確認されました。

以下の Waters ソフトウェアに対して、log4j*.jar ファイルの存在を分析しました：

• MassLynx（MassLynx インストーラーからの FractionLynx、IonLynx、TargetLynx、OpenLynx、ChromaLynx、MetaboLynx、BioLynx、Maxent オプションを含む）
• MassFragment
• Driftscope 3.0
• BiopharmaLynx 1.3.5
• MSe Dataviewer 2.0
• Progenesis QI
• Progenesis QI for Proteomics
• Symphony
• HDI1.6、
• DynamX3.0
• HDMS Compare 2.0
• PromassBridge 1.2
• LiveID1.2
• MassLynx Skyline Interface 1.2
• Waters Compression and Noise Reduction Tool (SCN968)
• PLGS3.0.3
• Driver Pack 2021 R1

これらのソフトウェアコンポーネントのうち、PLGS3.0.3 インストールフォルダーのみに log4j jar ファイルが含まれています。
PLGS はバージョン log4j 1.2.17 を使用します。これは、Apache から最後に発行されたセキュリティアラート (https://logging.apache.org/log4j/2.x/security.html) で、log4j の影響を受けるバージョンとしてリストされていません。Log4j 1.2.17.jar には、報告された脆弱性に関連する JMSAppender.class ファイルが含まれていません。

追加情報

「ゼロディ」の脆弱性 (CVE-2021-44228) は、2021 年 12 月 9 日にセキュリティ研究者によって報告され、一般的なソフトウェアパッケージ（Apache Log4j の脆弱性）に影響を与えます。log4j は Web アプリケーションおよびクラウドサービスプロバイダー全体で広く使用されているため、この脆弱性の全範囲は複雑です。MassLynx（現在までのすべてのバージョン）には、log4j が含まれていません。