MongoDBにおけるLog4Shell(CVE-2021-44228)の影響について #MongoDB #CVE202144228 #log4j
この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。
本記事では「MongoDB」社の技術ブログで2021年12月13日に公開された「Log4Shell Vulnerability (CVE-2021-44228) and MongoDB」に関してまとめた記事です。
log4jの脆弱性について
Apache Log4jの脆弱性が公表されています。本記事ではMongoDB製品への影響にのみ言及するものとします。
脆弱性の詳細はApacheセキュリティトラッカーのリンクをご確認ください。
Mongodbへの影響
影響を受けるのは「MongoDB Atlas Search」のみであり、こちらも12/17(EST,米国東部標準時)時点で
log4jv.2.16.0にパッチ適用済みとのことです。以下の製品は影響を受けません。
| 製品 | ステータス |
|---|---|
| MongoDB Atlas Search | 12/17(EST,米国東部標準時)時点で log4j v.2.16.0 適用済みです。 パッチ適用前に悪用や侵入の痕跡は発見されておりません。 |
| MongoDB Atlasのその他のコンポーネント | 影響なし |
| MongoDB Enterprise Advanced (Enterprise Server, Ops Manager, Enterprise Kubernetes Operatorsを含む) |
影響なし |
| MongoDB Community Edition (Community Server, Cloud Manager, Community Kubernetes Operatorsを含む) |
影響なし |
| MongoDB Drivers | 影響なし |
| MongoDB Tools (Compass, Database Shell, VS Code Plugin, Atlas CLI, Database Connectorsを含む) |
影響なし |
| MongoDB Realm (Realm Database, Sync, Functions, APIsを含む) |
影響なし |
よって、利用者による作業は必要ございません。
まとめ
今回は影響範囲が少なく、利用者による作業は不要ですが、EOLのバージョンを使い続けていると
脆弱性対応などのサポートが受けられない可能性がございます。EOLになる前にバージョンアップをご検討ください。
MongoDBのライフサイクルスケジュールは以下のリンクからご確認ください。
MongoDB Software Lifecycle Schedules
クリエーションライン(株)ではMongoDBの公式販売代理店と日本語サポートを提供しております。
バージョンアップのサポートも実施しております。ご用命の際はこちらでお声がけください。
