CVE-2025-68161とDocuWareへの影響

質問:
DocuWareはCVE-2025-68161の影響を受けますか？

CVE-2025-68161はApache Log4j Coreバージョン2.0-beta9から2.25.2に関係します。

回答:
製造設計上、Apache Log4j Coreバージョン2.0-beta9から2.25.2のSocket Appenderは、相手証明書のTLSホスト名検証を行いません。そのため、中間者攻撃者がフルテキストサービスが動作するネットワークへのアクセスをすでに取得している場合、ログトラフィックを傍受またはリダイレクトできる可能性があります。

DocuWareバージョン7.7以降では、Log4j 2.17.2が使用されています。ベストプラクティスは、ファイアウォールでフルテキストサービスを保護し、DocuWareとそのサービスがフルテキストサービスにアクセスできるようにすることです。

DocuWareとFulltextが使用するポートの詳細については、以下を参照してください：KBA-34951

KBAはオンプレミスシステムにのみ適用されます！

ご注意：この記事は英語からの翻訳です。この記事に含まれる情報は、オリジナルの英語版製品に基づくものです。翻訳版の記事で使用されている文法などには、細かい誤りがある場合があります。翻訳の正確さを完全に保証することは出来かねますが、ほとんどの場合、十分な情報が得られると思われます。万が一、疑問が生じた場合は、英語版の記事に切り替えてご覧ください。