平素より当社製品「xoBlos」をご愛好賜り、誠にありがとうございます。
xoBlosでは、Log出力のために .NET版である「log4net」を使用していますが、
「log4net」について以下の情報が公開されております。
※「log4j」に関しては、xoBlosでは使用しておりません
◎Apache log4netにおけるXML外部実体参照(XXE)の脆弱性
https://jvn.jp/ta/JVNTA94851885/これに関して下記、3点をご報告いたします。
------------------------------------------------------------------------------------------
①xoBlosにおける「log4net」に対する設定は、原則として出荷時に作成された
アプリケーションの構成ファイルを使用する為、上記公開情報内の「回避策」を
取っている点に相当しております。
②ただし一部、ログ出力設定を外部から渡せるようになっている、コマンド(xbtrun.exe)
については、運用にてご注意いただきますよう、お願い申し上げます。
③基本的には直接、外部からの攻撃が可能な訳ではないので、現製品バージョンにおいて
この問題のみに対処したバージョンのリリース予定はありませんが、次期リリースでは
「log4net」の新バージョンを組み込む予定です。
------------------------------------------------------------------------------------------
ご不便をおかけいたしますが、何卒よろしくお願いいたします。