[2021/12/13] Apache Log4j の任意のコード実行の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832) に関する LDAP Manager への影響について

掲載日	Dec 13, 2021
最終更新日	Jan 25, 2022

LDAP Manager の各バージョン（ 6.8 ～ 7.0 ）で提供されている Web アプリケーションは、CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 で報告された脆弱性の影響を受ける可能性がございます。

LDAP Manager の本脆弱性に関する影響は以下のとおりです。

Apache Software Foundation からのアナウンス

本脆弱性の対応として、Apache Software Foundation より回避策が提示されています。

この内容を踏まえ、弊社では下記回避策をご案内します。

2022.1.7追記

CVE-2021-44832 を回避するため、以下の対応をお願いします。

各 Web アプリケーションの log4j2.xml の設定に、"<JDBC" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。

設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センターまでご連絡ください。

2021.12.20追記

CVE-2021-45105 を回避するため、以下の対応をお願いします。

各 Web アプリケーションの log4j2.xml の設定に、 "${ctx:"、"$${ctx:" が含まれていた場合、影響があるため追加の対策が必要です。
なお、製品出荷時の設定では含まれておりません。

設定されている場合、該当する設定箇所を削除するか LDAP Manager サポート・センターまでご連絡ください。

2021.12.16追記

CVE-2021-45046 を回避するため、回避策2 を適用してください。

回避策1 Tomcat の起動パラメータの変更

2021.12.14追記

回避策2 対策済みファイルの置き換え

以下の対象モジュール及び対象バージョンにて、対策済みの log4j の jar に置き換えます。

2021.12.16追記

対策済みの log4j の jar は以下よりダウンロードしてください。

モジュール名	対象バージョン	jar ファイル名

＜入れ替え手順＞

Tomcat を停止します。
以下のファイルを別フォルダ（ディレクトリ）にバックアップします。
- webmtn/WEB-INF/lib/log4j-core-2.1.jar
- wmconf/WEB-INF/lib/log4j-core-2.1.jar
- admin-mtn-sv/WEB-INF/lib/log4j-core-2.1.jar
- lmportal/WEB-INF/lib/log4j-core-2.1.jar
- idworkflow/WEB-INF/lib/log4j-core-2.1.jar
- adaggregator/WEB-INF/lib/log4j-core-2.1.jar
- aggregator-rv/WEB-INF/lib/log4j-core-2.1.jar
- sosalog/WEB-INF/lib/log4j-core-2.1.jar（log4j-core-2.10.jar）
  　
ダウンロードした log4j-core-2.1.jar （log4j-core-2.10.jar）を手順2 のファイルに上書きします。
※アクセス権は適宜変更してください。
Tomcat を起動します。

回避策3 ログレベル変更による回避方法

回避策1、回避策2 の対応が難しい場合、脆弱性対策済みのモジュール適用までの緩和策として、下記の設定の適用をご検討ください。

log4j2.xml で、すべてのログレベルを fatal に設定します。（Tomcat の再起動は不要です。）

※Root のコメントは無視し、合わせて変更してください。

※log4j2.xml を変更した場合、修正版モジュールに適用後に設定を元に戻してください。

変更例 log4j2.xml の抜粋

<Root level="fatal" additivity="false">
<appender-ref ref="RollingFile" />
</Root>

</loggers>