[2021/12/13] Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) に関する LDAP Manager への影響について
2021年 12月 11日 に報告された「Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) について 」につきまして、LDAP Manager に関する調査状況をご報告させていただきます。
回避方法
Apache Software Foundation からのアナウンス
本脆弱性の対応として、Apache Software Foundation より回避策が提示されています。
この内容を踏まえ、弊社では下記回避策をご案内します。
2022.1.7追記
CVE-2021-44832 を回避するため、以下の対応をお願いします。
各 Web アプリケーションの log4j2.xml の設定に、"<JDBC" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。
設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センター までご連絡ください。
2021.12.20追記
CVE-2021-45105 を回避するため、以下の対応をお願いします。
各 Web アプリケーションの log4j2.xml の設定に、 "${ctx:"、"$${ctx:" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。
設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センター までご連絡ください。
2021.12.16追記
CVE-2021-45046 を回避するため、回避策2 を適用してください。
回避策1 Tomcat の起動パラメータの変更
2021.12.14追記
以下の対象モジュール及び対象バージョンにて、Tomcat の起動パラメータを変更してください。
操作ログオプション(Web)
6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0
<Windows OS での設定手順(Tomcat9 の場合)>
Tomcat9w.exe を起動し、[Java]タブの[Java Options:]にて、最終行に以下のパラメータを追加します。
-Dlog4j2.formatMsgNoLookups=true
- Tomcat を再起動します。
<Linux OS での設定手順>
Tomcat インストールディレクトリ /bin/setenv.sh を編集し、以下の設定を追加します。
setenv.sh が存在しない場合は、新規に作成します。JAVA_OPTS="${JAVA_OPTS} -Dlog4j2.formatMsgNoLookups=true"
export JAVA_OPTS- Tomcat を再起動します。
回避策2 対策済みファイルの置き換え
以下の対象モジュール及び対象バージョンにて、対策済みの log4j の jar に置き換えます。
2021.12.16追記
対策済みの log4j の jar は以下よりダウンロードしてください。
| モジュール名 | 対象バージョン | jar ファイル名 |
|---|---|---|
| 利用者プロファイルメンテナンス | 6.8 ~ 7.0 の全バージョン | log4j-core-2.1.jar |
| 利用者プロファイルメンテナンス設定 | 6.8 ~ 7.0 の全バージョン | |
| 管理者メンテナンス(Servlet) | 6.8 ~ 7.0 の全バージョン | |
| 管理者ポータル | 6.8 ~ 7.0 の全バージョン | |
| IDワークフロー | 6.8 ~ 7.0 の全バージョン | |
| ADアグリゲータ | 6.8 ~ 7.0 の全バージョン | |
| アグリゲータレシーバ | 6.8 ~ 7.0 の全バージョン | |
| 操作ログオプション(Web) | 6.8.0.2~6.8.0.12、 6.9.0.1~6.9.0.3 | log4j-core-2.1.jar |
| 6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0 | log4j-core-2.10.jar |
<入れ替え手順>
- Tomcat を停止します。
- 以下のファイルを別フォルダ(ディレクトリ)にバックアップします。
- webmtn/WEB-INF/lib/log4j-core-2.1.jar
- wmconf/WEB-INF/lib/log4j-core-2.1.jar
- admin-mtn-sv/WEB-INF/lib/log4j-core-2.1.jar
- lmportal/WEB-INF/lib/log4j-core-2.1.jar
- idworkflow/WEB-INF/lib/log4j-core-2.1.jar
- adaggregator/WEB-INF/lib/log4j-core-2.1.jar
- aggregator-rv/WEB-INF/lib/log4j-core-2.1.jar
- sosalog/WEB-INF/lib/log4j-core-2.1.jar(log4j-core-2.10.jar)
- ダウンロードした log4j-core-2.1.jar (log4j-core-2.10.jar)を手順2 のファイルに上書きします。
※アクセス権は適宜変更してください。 - Tomcat を起動します。
回避策3 ログレベル変更による回避方法
回避策1、回避策2 の対応が難しい場合、脆弱性対策済みのモジュール適用までの緩和策として、下記の設定の適用をご検討ください。
- ログレベルを fatal とすることで、ログ出力を抑え影響を回避することが可能です。
log4j2.xml で、すべてのログレベルを fatal に設定します。(Tomcat の再起動は不要です。)
※Root のコメントは無視し、合わせて変更してください。
※log4j2.xml を変更した場合、修正版モジュールに適用後に設定を元に戻してください。
変更例 log4j2.xml の抜粋
<loggers>
<Logger name="jp" level="fatal" additivity="false">
<appender-ref ref="RollingFile" />
</Logger>
<!-- Rootは変更しないでください -->
<Root level="fatal" additivity="false">
<appender-ref ref="RollingFile" />
</Root>
</loggers>