[2021/12/13] Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) に関する LDAP Manager への影響について

2021年 12月 11日 に報告された「Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) について 」につきまして、LDAP Manager に関する調査状況をご報告させていただきます。

LDAP Managerでの影響について

LDAP Manager の各バージョン（ 6.8 ～ 7.0 ）で提供されている Web アプリケーションは、CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 で報告された脆弱性の影響を受ける可能性がございます。

LDAP Manager の本脆弱性に関する影響は以下のとおりです。

回避方法

Apache Software Foundation からのアナウンス

本脆弱性の対応として、Apache Software Foundation より回避策が提示されています。

• Apache Log4j Security Vulnerabilities

この内容を踏まえ、弊社では下記回避策をご案内します。

2022.1.7追記

2021.12.20追記

2021.12.16追記

回避策1 Tomcat の起動パラメータの変更

2021.12.14追記

回避策2 対策済みファイルの置き換え

以下の対象モジュール及び対象バージョンにて、対策済みの log4j の jar に置き換えます。

2021.12.16追記

＜入れ替え手順＞

1. Tomcat を停止します。

2. 以下のファイルを別フォルダ（ディレクトリ）にバックアップします。

   • webmtn/WEB-INF/lib/log4j-core-2.1.jar

   • wmconf/WEB-INF/lib/log4j-core-2.1.jar

   • admin-mtn-sv/WEB-INF/lib/log4j-core-2.1.jar

   • lmportal/WEB-INF/lib/log4j-core-2.1.jar

   • idworkflow/WEB-INF/lib/log4j-core-2.1.jar

   • adaggregator/WEB-INF/lib/log4j-core-2.1.jar

   • aggregator-rv/WEB-INF/lib/log4j-core-2.1.jar

   • sosalog/WEB-INF/lib/log4j-core-2.1.jar（log4j-core-2.10.jar）
     　

3. ダウンロードした log4j-core-2.1.jar （log4j-core-2.10.jar）を手順2 のファイルに上書きします。
   ※アクセス権は適宜変更してください。

4. Tomcat を起動します。

回避策3 ログレベル変更による回避方法

回避策1、回避策2 の対応が難しい場合、脆弱性対策済みのモジュール適用までの緩和策として、下記の設定の適用をご検討ください。

• ログレベルを fatal とすることで、ログ出力を抑え影響を回避することが可能です。

log4j2.xml で、すべてのログレベルを fatal に設定します。（Tomcat の再起動は不要です。）

※Root のコメントは無視し、合わせて変更してください。

※log4j2.xml を変更した場合、修正版モジュールに適用後に設定を元に戻してください。

変更例 log4j2.xml の抜粋