【注意喚起】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)について(SOS JobScheduler)

2021/12/11 JPCERT/CCよりApache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起が発表されています。
脆弱性の詳細については、以下をご参照ください。
https://www.jpcert.or.jp/at/2021/at210050.html?fbclid=IwAR3C6fagYLZiE7WGEbl8_Y6EB_i_5D7BLdSKUAHQnDnoSXFveRHx6apEO1w

対象となるバージョンは、Apache Log4j 2.15.0より前の2系のバージョンであり、旧1系は含まれていません。
SOS JobSchedulerでは以下のバージョンが上記対象ライブラリを含んでいます。
V.1.12.12〜V.1.12.14
V.1.13.3〜V.1.13.9
V.2.0.0〜V.2.1.1

対策
The Apache Software Foundationから本脆弱性を修正したApache Log4j V.2.15.0が公開されています。
SOS社では現在上記修正版を含んだ緊急リリース(V.1.13.10, V.2.2.0)及びパッチを作成中であり、2021/12/24に公開予定です。
回避策については、以下をご参照ください。
https://change.sos-berlin.com/browse/JOC-1184

JobSchedulerは問題のあるlog4jのLDAP JNDI perserと呼ばれる機能は使用しておりませんが、バージョンアップや回避策の適用などの実施を検討することを推奨します。