Javaライブラリの1つであるLog4j2の脆弱性が報告されています。
Salesforceでは広く使用されているデータローダにも影響が及んでいます。
Log4j2とは、その脆弱性とは
こちらのWEBサイトで分かりやすく説明されています。
・Apache Log4jの脆弱性とは 悪用方法と対策をわかりやすく解説
今回のLog4jで見つかった脆弱性は、ログとして記録された文字列から、一部の文字列を変数として置きかえる機能「JNDI Lookup」を悪用したものです。
脆弱なLog4j2が稼働しているシステムに、攻撃者はある文字列を含むデータを送り、処理させます。この攻撃文字列を処理しようとしたLog4j2は、JNDI Lookup機能により、攻撃文字列によって指定されたURLにアクセスしようとします。Log4jは、攻撃者が用意した悪意のあるJavaコードをダウンロードし、システム内で実行してしまうというものです。
その結果、プログラムの実行、サーバーに保存されているデータの改ざん・情報盗み出しなどができてしまうおそれがあります。
https://smbiz.asahi.com/article/14502837
対応方法
バージョン53.0.2以降にバージョンアップしてください。
注意点
今まで使用していたデータローダのjarファイル(バージョン45.0.0で言うとdataloader-45.0.0-uber.jar)のみを置き替えるのではなく、
binフォルダのencrypt.batやprocess.batも新しいバージョンに置き換えてください。
各batファイルにはDATALOADER_VERSIONが指定されているためです。
また、古いバージョンではprocess.batでprocessがProcessRunnerとなっており、
新しいバージョンではDataLoaderRunnerとなっている点でも置き換えが必要です。
【バージョン45.0.0のprocess.bat】=旧バージョン
【バージョン53.0.2のprocess.bat】=新バージョン
コメント