Javaライブラリの1つであるLog4j2の脆弱性が報告されています。
Salesforceでは広く使用されているデータローダにも影響が及んでいます。
Log4j2とは、その脆弱性とは
こちらのWEBサイトで分かりやすく説明されています。
・Apache Log4jの脆弱性とは 悪用方法と対策をわかりやすく解説
![](https://sfdctechsite.com/wp-content/uploads/cocoon-resources/blog-card-cache/9704b8c691e49c07963be20a2dae48d9.jpg)
今回のLog4jで見つかった脆弱性は、ログとして記録された文字列から、一部の文字列を変数として置きかえる機能「JNDI Lookup」を悪用したものです。
脆弱なLog4j2が稼働しているシステムに、攻撃者はある文字列を含むデータを送り、処理させます。この攻撃文字列を処理しようとしたLog4j2は、JNDI Lookup機能により、攻撃文字列によって指定されたURLにアクセスしようとします。Log4jは、攻撃者が用意した悪意のあるJavaコードをダウンロードし、システム内で実行してしまうというものです。
その結果、プログラムの実行、サーバーに保存されているデータの改ざん・情報盗み出しなどができてしまうおそれがあります。
https://smbiz.asahi.com/article/14502837
対応方法
バージョン53.0.2以降にバージョンアップしてください。
注意点
今まで使用していたデータローダのjarファイル(バージョン45.0.0で言うとdataloader-45.0.0-uber.jar)のみを置き替えるのではなく、
binフォルダのencrypt.batやprocess.batも新しいバージョンに置き換えてください。
各batファイルにはDATALOADER_VERSIONが指定されているためです。
また、古いバージョンではprocess.batでprocessがProcessRunnerとなっており、
新しいバージョンではDataLoaderRunnerとなっている点でも置き換えが必要です。
【バージョン45.0.0のprocess.bat】=旧バージョン
![processランナー](https://sfdctechsite.com/wp-content/uploads/2022/01/image-1-1024x118.png)
【バージョン53.0.2のprocess.bat】=新バージョン
![バージョン確認](https://sfdctechsite.com/wp-content/uploads/2022/01/image-2-1024x223.png)
コメント