Intel、AMD、NVIDIAが「Apache Log4j」脆弱性（Log4Shell）の影響を公表

　Java製品で広く採用されているロギングライブラリ「Apache Log4j」で極めて危険な任意コード実行の脆弱性（CVE-2021-44228）が発見されたことをうけ、Intel、AMD、NVIDIAがそれぞれ自社製品への影響を公表している。

　「CVE-2021-44228」（通称：Log4Shell）は先日「Log4j」で発見された脆弱性で、特定のリクエストを送出するだけでリモートから任意のコードを実行可能になる極めて致命的なものだ。「CVSS 3.0」の基本値は、最高の「10.0」。「Log4j」v2.15.0より前のバージョンのv2系に影響する。万全な対策を行うには、「Apache Log4j 2.16.0」（Java 7環境の場合は「Log4j 2.12.2」）へのアップグレードが必要だ。

Intel

Intelのサポートページ

　Intelによると以下の製品が影響をうける可能性があるとのこと。いずれもまだパッチは提供されておらず、準備中となっている。

• Intel Audio Development Kit
• Intel Datacenter Manager
• Intel oneAPI sample browser plugin for Eclipse
• Intel System Debugger
• Intel Secure Device Onboard
• Intel Genomics Kernel Library
• Intel System Studio
• Computer Vision Annotation Tool maintained by Intel
• Intel Sensor Solution Firmware Development Kit

• INTEL-SA-00646

AMD

AMDのサポートページ

　現在のところ、「Log4Shell」脆弱性の影響を受けるAMD製品は確認されていない。しかし、同社は分析を継続するとのことで、追加の情報があれば以下のサポートページで随時案内するとしている。

• AMD Response to Log4j (Log4Shell) Vulnerability - AMD

NVIDIA

NVIDIAのサポートページ

　NVIDIAはAI開発ソリューション「NVIDIA DGX Systems」をエンタープライズ向けに提供しているが、そのOSはLinuxディストリビューション「Ubuntu」がベースとなっている。初期設定ではこのOSに「Log4j」は含まれていないが、ユーザーが追加で「Log4j」をインストールすることは可能。同社はシステムに「Log4j」がインストールされていないか確認し、インストールされていれば以下のコマンドで最新版へ更新するよう呼び掛けている。

sudo apt update
sudo apt full-upgrade

　また、「vGPU software license server」も「Log4Shell」脆弱性の影響を受ける可能性があるとして緩和策が案内されている。今後も追加の情報があればサポートページを更新するとのことなので注視したい。

• Security Notice: NVIDIA Response to Log4j Vulnerability (CVE-2021-44228) - December 2021