• HOME
  • お知らせ
  • xoBlosが使用しているLog出力ライブラリについてのご報告
お知らせ
2021/12/14

xoBlosが使用しているLog出力ライブラリについてのご報告

製品情報
デジタル・インフォーメーション・テクノロジー株式会社
プロダクトソリューション本部
xoBlos事業部
平素より当社製品「xoBlos」をご愛好賜り、誠にありがとうございます。

xoBlosでは、Log出力のために .NET版である「log4net」を使用していますが、
「log4net」について以下の情報が公開されております。
 ※「log4j」に関しては、xoBlosでは使用しておりません

 ◎Apache log4netにおけるXML外部実体参照(XXE)の脆弱性
  https://jvn.jp/ta/JVNTA94851885/

これに関して下記、3点をご報告いたします。

------------------------------------------------------------------------------------------
 ①xoBlosにおける「log4net」に対する設定は、原則として出荷時に作成された
  アプリケーションの構成ファイルを使用する為、上記公開情報内の「回避策」を
  取っている点に相当しております。

 ②ただし一部、ログ出力設定を外部から渡せるようになっている、コマンド(xbtrun.exe)
  については、運用にてご注意いただきますよう、お願い申し上げます。

 ③基本的には直接、外部からの攻撃が可能な訳ではないので、現製品バージョンにおいて
  この問題のみに対処したバージョンのリリース予定はありませんが、次期リリースでは
  「log4net」の新バージョンを組み込む予定です。
------------------------------------------------------------------------------------------

ご不便をおかけいたしますが、何卒よろしくお願いいたします。