[2021/12/13] Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) に関する LDAP Manager への影響について

掲載日

最終更新日

 



2021年 12月 11日 に報告された「Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) について 」につきまして、LDAP Manager に関する調査状況をご報告させていただきます。



LDAP Managerでの影響について

LDAP Manager の各バージョン( 6.8 ~ 7.0 )で提供されている Web アプリケーションは、CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 で報告された脆弱性の影響を受ける可能性がございます。

LDAP Manager の本脆弱性に関する影響は以下のとおりです。

利用者プロファイルメンテナンス

利用者プロファイルメンテナンス設定

管理者メンテナンス(Servlet)

管理者ポータル

操作ログオプション(Web)

IDワークフロー

ADアグリゲータ

アグリゲータレシーバ

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン

全バージョン





回避方法

Apache Software Foundation からのアナウンス

本脆弱性の対応として、Apache Software Foundation より回避策が提示されています。

この内容を踏まえ、弊社では下記回避策をご案内します。

2022.1.7追記

CVE-2021-44832 を回避するため、以下の対応をお願いします。

各 Web アプリケーションの log4j2.xml の設定に、"<JDBC" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。

設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センター までご連絡ください。


2021.12.20追記

CVE-2021-45105 を回避するため、以下の対応をお願いします。

各 Web アプリケーションの log4j2.xml の設定に、 "${ctx:"、"$${ctx:" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。

設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センター までご連絡ください。


2021.12.16追記

CVE-2021-45046 を回避するため、回避策2 を適用してください。



回避策1 Tomcat の起動パラメータの変更

2021.12.14追記

 Click here to expand...


以下の対象モジュール及び対象バージョンにて、Tomcat の起動パラメータを変更してください。

操作ログオプション(Web)

6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0


<Windows OS での設定手順(Tomcat9 の場合)>

  1. Tomcat9w.exe を起動し、[Java]タブの[Java Options:]にて、最終行に以下のパラメータを追加します。

    -Dlog4j2.formatMsgNoLookups=true



  2. Tomcat を再起動します。

<Linux OS での設定手順>

  1. Tomcat インストールディレクトリ /bin/setenv.sh を編集し、以下の設定を追加します。
    setenv.sh が存在しない場合は、新規に作成します。

    JAVA_OPTS="${JAVA_OPTS} -Dlog4j2.formatMsgNoLookups=true"
        export JAVA_OPTS

  2. Tomcat を再起動します。



回避策2 対策済みファイルの置き換え

以下の対象モジュール及び対象バージョンにて、対策済みの log4j の jar に置き換えます。


2021.12.16追記

対策済みの log4j の jar は以下よりダウンロードしてください。

モジュール名対象バージョンjar ファイル名
利用者プロファイルメンテナンス6.8 ~ 7.0 の全バージョンlog4j-core-2.1.jar
利用者プロファイルメンテナンス設定6.8 ~ 7.0 の全バージョン
管理者メンテナンス(Servlet)6.8 ~ 7.0 の全バージョン
管理者ポータル6.8 ~ 7.0 の全バージョン
IDワークフロー6.8 ~ 7.0 の全バージョン
ADアグリゲータ6.8 ~ 7.0 の全バージョン
アグリゲータレシーバ6.8 ~ 7.0 の全バージョン
操作ログオプション(Web)6.8.0.2~6.8.0.12、 6.9.0.1~6.9.0.3log4j-core-2.1.jar
6.8.0.14~6.8.0.16、 6.9.0.4~6.9.0.11、 7.0.0.0log4j-core-2.10.jar

<入れ替え手順>

  1. Tomcat を停止します。
  2. 以下のファイルを別フォルダ(ディレクトリ)にバックアップします。
    • webmtn/WEB-INF/lib/log4j-core-2.1.jar
    • wmconf/WEB-INF/lib/log4j-core-2.1.jar
    • admin-mtn-sv/WEB-INF/lib/log4j-core-2.1.jar
    • lmportal/WEB-INF/lib/log4j-core-2.1.jar
    • idworkflow/WEB-INF/lib/log4j-core-2.1.jar
    • adaggregator/WEB-INF/lib/log4j-core-2.1.jar
    • aggregator-rv/WEB-INF/lib/log4j-core-2.1.jar
    • sosalog/WEB-INF/lib/log4j-core-2.1.jar(log4j-core-2.10.jar)
       
  3. ダウンロードした log4j-core-2.1.jar (log4j-core-2.10.jar)を手順2 のファイルに上書きします。
    ※アクセス権は適宜変更してください。
  4. Tomcat を起動します。



回避策3 ログレベル変更による回避方法

回避策1、回避策2 の対応が難しい場合、脆弱性対策済みのモジュール適用までの緩和策として、下記の設定の適用をご検討ください。

  • ログレベルを fatal とすることで、ログ出力を抑え影響を回避することが可能です。

log4j2.xml で、すべてのログレベルを fatal に設定します。(Tomcat の再起動は不要です。)

※Root のコメントは無視し、合わせて変更してください。

※log4j2.xml を変更した場合、修正版モジュールに適用後に設定を元に戻してください。


変更例 log4j2.xml の抜粋

<loggers>

    <Logger name="jp" level="fatal" additivity="false">
        <appender-ref ref="RollingFile" />
    </Logger>

    <!-- Rootは変更しないでください -->
    <Root level="fatal" additivity="false">
        <appender-ref ref="RollingFile" />
    </Root>

</loggers>






現象の根本対応策

2022.1.7更新

CVE-2021-44228, CVE-2021-45046 の脆弱性対策を行った修正版モジュールのご提供の準備が整いました。

ただし、CVE-2021-45105, CVE-2021-44832 の対策は含まれておりません。

CVE-2021-45105, CVE-2021-44832 対策の修正版モジュールについては、2022年1月20日(木)よりご提供いたします。

対象の修正版モジュールは以下のとおりです。

  • 利用者プロファイルメンテナンス
  • 管理者メンテナンス(Servlet版)
  • 管理者ポータル
  • 操作ログオプション
  • IDワークフロー
  • ADアグリゲータ
  • アグリゲータレシーバ

大変お手数ですが、各バージョンの最新版モジュールを適用いただきますようお願い申し上げます。
最新版モジュールをご希望のお客様は、LDAP Manager サポート・センター までご連絡ください。