|
LDAP Manager の各バージョン( 6.8 ~ 7.0 )で提供されている Web アプリケーションは、CVE-2021-44228, CVE-2021-45046 で報告された脆弱性の影響を受ける可能性がございます。
LDAP Manager の本脆弱性に関する影響は以下の通りです。
|
Apache Software Foundation からのアナウンス
本脆弱性の対応として、Apache Software Foundation より回避策が提示されています。
この内容を踏まえ、弊社では下記回避策をご案内します。
2021.12.16追記
CVE-2021-45046 を回避するため、回避策2 を適用してください。
回避策1 Tomcat の起動パラメータの変更
2021.12.14追記 以下の対象モジュール及び対象バージョンにて、Tomcat の起動パラメータを変更してください。
<Windows OS での設定手順(Tomcat9 の場合)>
<Linux OS での設定手順>
|
回避策2 対策済みファイルの置き換え
以下の対象モジュール及び対象バージョンにて、対策済みの log4j の jar に置き換えます。
2021.12.16追記
対策済みの log4j の jar は以下よりダウンロードしてください。
モジュール名 | 対象バージョン | jar ファイル名 |
---|---|---|
利用者プロファイルメンテナンス | 6.8 ~ 7.0 の全バージョン | log4j-core-2.1.jar |
利用者プロファイルメンテナンス設定 | 6.8 ~ 7.0 の全バージョン | |
管理者メンテナンス(Servlet) | 6.8 ~ 7.0 の全バージョン | |
管理者ポータル | 6.8 ~ 7.0 の全バージョン | |
IDワークフロー | 6.8 ~ 7.0 の全バージョン | |
ADアグリゲータ | 6.8 ~ 7.0 の全バージョン | |
アグリゲータレシーバ | 6.8 ~ 7.0 の全バージョン | |
操作ログオプション(Web) | 6.8.0.2~6.8.0.12、 6.9.0.1~6.9.0.3 | log4j-core-2.1.jar |
6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0 | log4j-core-2.10.jar |
<入れ替え手順>
回避策3 ログレベル変更による回避方法
回避策1、回避策2 の対応が難しい場合、脆弱性対策済みのモジュール適用までの緩和策として、下記の設定の適用をご検討ください。
log4j2.xml で、すべてのログレベルを fatal に設定します。(Tomcat の再起動は不要です。)
※Root のコメントは無視し、合わせて変更してください。
※log4j2.xml を変更した場合、修正版モジュールに適用後に設定を元に戻してください。
変更例 log4j2.xml の抜粋
<loggers> <Logger name="jp" level="fatal" additivity="false"> <!-- Rootは変更しないでください --> </loggers> |
以下 Web アプリケーションの脆弱性対策を行った修正版モジュールを、2021年12月20日(月)よりご提供いたします。
大変お手数ですが、各バージョンの最新版モジュールを適用いただきますようお願い申し上げます。
最新版モジュールをご希望のお客様は、LDAP Manager サポート・センター までご連絡ください。