Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


Page Properties


掲載日

最終更新日  

 





2021年 12月 11日 に報告された「Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) について 」につきまして、LDAP Manager に関する調査状況をご報告させていただきます。



LDAP Managerでの影響について

LDAP Manager の各バージョン( 6.8 ~ 7.0 )で提供されている Web アプリケーションは、CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 で報告された脆弱性の影響を受ける可能性がございます。

LDAP Manager の本脆弱性に関する影響は以下のとおりです。

Section


Column
width30%

利用者プロファイルメンテナンス

利用者プロファイルメンテナンス設定

管理者メンテナンス(Servlet)

管理者ポータル

操作ログオプション(Web)

IDワークフロー

ADアグリゲータ

アグリゲータレシーバ


Column
width50%

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン







回避方法

Apache Software Foundation からのアナウンス

本脆弱性の対応として、Apache Software Foundation より回避策が提示されています。

この内容を踏まえ、弊社では下記回避策をご案内します。


2022.1.7追記

Panel
bgColor#eaffea

CVE-2021-44832 を回避するため、以下の対応をお願いします。

各 Web アプリケーションの log4j2.xml の設定に、"<JDBC" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。

設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センター までご連絡ください。


2021.12.20追記

Panel
bgColor#eaffea

CVE-2021-45105 を回避するため、以下の対応をお願いします。

各 Web アプリケーションの log4j2.xml の設定に、 "${ctx:"、"$${ctx:" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。

設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センター までご連絡ください。

 


2021.12.16追記

Panel
bgColor#eaffea

CVE-2021-45046 を回避するため、回避策2 を適用してください。



回避策1 Tomcat の起動パラメータの変更


2021.12.14追記

Panel
bgColor#eaffea


Expand


以下の対象モジュール及び対象バージョンにて、Tomcat の起動パラメータを変更してください。

Section


Column
width20%

操作ログオプション(Web)


Column
width50%

6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0



<Windows OS での設定手順(Tomcat9 の場合)>

  1. Tomcat9w.exe を起動し、[Java]タブの[Java Options:]にて、最終行に以下のパラメータを追加します。

    Panel

    -Dlog4j2.formatMsgNoLookups=true



  2. Tomcat を再起動します。

<Linux OS での設定手順>

  1. Tomcat インストールディレクトリ /bin/setenv.sh を編集し、以下の設定を追加します。
    setenv.sh が存在しない場合は、新規に作成します。

    Panel

    JAVA_OPTS="${JAVA_OPTS} -Dlog4j2.formatMsgNoLookups=true"
        export JAVA_OPTS


  2. Tomcat を再起動します。




回避策2 対策済みファイルの置き換え

以下の対象モジュール及び対象バージョンにて、対策済みの log4j の jar に置き換えます。


2021.12.16追記

Panel
bgColor#eaffea

対策済みの log4j の jar は以下よりダウンロードしてください。

モジュール名対象バージョンjar ファイル名
利用者プロファイルメンテナンス6.8 ~ 7.0 の全バージョンlog4j-core-2.1.jar
利用者プロファイルメンテナンス設定6.8 ~ 7.0 の全バージョン
管理者メンテナンス(Servlet)6.8 ~ 7.0 の全バージョン
管理者ポータル6.8 ~ 7.0 の全バージョン
IDワークフロー6.8 ~ 7.0 の全バージョン
ADアグリゲータ6.8 ~ 7.0 の全バージョン
アグリゲータレシーバ6.8 ~ 7.0 の全バージョン
操作ログオプション(Web)6.8.0.2~6.8.0.12、 6.9.0.1~6.9.0.3log4j-core-2.1.jar
6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0log4j-core-2.10.jar



<入れ替え手順>

  1. Tomcat を停止します。
  2. 以下のファイルを別フォルダ(ディレクトリ)にバックアップします。
    • webmtn/WEB-INF/lib/log4j-core-2.1.jar
    • wmconf/WEB-INF/lib/log4j-core-2.1.jar
    • admin-mtn-sv/WEB-INF/lib/log4j-core-2.1.jar
    • lmportal/WEB-INF/lib/log4j-core-2.1.jar
    • idworkflow/WEB-INF/lib/log4j-core-2.1.jar
    • adaggregator/WEB-INF/lib/log4j-core-2.1.jar
    • aggregator-rv/WEB-INF/lib/log4j-core-2.1.jar
    • sosalog/WEB-INF/lib/log4j-core-2.1.jar(log4j-core-2.10.jar)
       
  3. ダウンロードした log4j-core-2.1.jar (log4j-core-2.10.jar)を手順2 のファイルに上書きします。
    ※アクセス権は適宜変更してください。
  4. Tomcat を起動します。



回避策3 ログレベル変更による回避方法

回避策1、回避策2 の対応が難しい場合、脆弱性対策済みのモジュール適用までの緩和策として、下記の設定の適用をご検討ください。

  • ログレベルを fatal とすることで、ログ出力を抑え影響を回避することが可能です。

log4j2.xml で、すべてのログレベルを fatal に設定します。(Tomcat の再起動は不要です。)

※Root のコメントは無視し、合わせて変更してください。

※log4j2.xml を変更した場合、修正版モジュールに適用後に設定を元に戻してください。


変更例 log4j2.xml の抜粋

Panel

<loggers>

    <Logger name="jp" level="fatal" additivity="false">
        <appender-ref ref="RollingFile" />
    </Logger>

    <!-- Rootは変更しないでください -->
    <Root level="fatal" additivity="false">
        <appender-ref ref="RollingFile" />
    </Root>

</loggers>






現象の根本対応策

20212022.121.20追記7更新

Panel
bgColor#eaffea

CVE-2021-44228, CVE-2021-45046 45046 の脆弱性対策を行った修正版モジュールのご提供の準備が整いました。

ただし、2021年12月20日に報告された CVE-2021-45105, CVE-2021-44832 の対策は含まれておりません。

CVE-2021-45105 対策の修正版モジュールについては、提供時期を調整しております。確定次第、本ページにてご案内いたします。, CVE-2021-44832 対策の修正版モジュールについては、2022年1月20日(木)よりご提供いたします。


対象の修正版モジュールは以下のとおりです。

  • 利用者プロファイルメンテナンス
  • 管理者メンテナンス(Servlet版)
  • 管理者ポータル
  • 操作ログオプション
  • IDワークフロー
  • ADアグリゲータ
  • アグリゲータレシーバ

大変お手数ですが、各バージョンの最新版モジュールを適用いただきますようお願い申し上げます。
最新版モジュールをご希望のお客様は、LDAP Manager サポート・センター までご連絡ください。