「Apache Log4j」に関する脆弱性(CVE-2021-44228)について
作成日:2021-12-13 | 更新日:2023-04-19
本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228)の影響についてご説明します。
概要
2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228)が公表されました。
AD360への影響(2022年9月15日 最新ビルド4308時点)
ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合/利用していない場合によって、
Log4jへの依存性が変わり、対応方法が異なります。なおどちらの場合にも脆弱性の影響は受けません。
ADSelfService PlusのMFAとして「RSA SecurID」を利用していない場合
ビルド4308(グローバルリリースではビルド4302)では、Log4jライブラリを完全に削除しています。
そのため、4308以降のビルドへアップグレードいただくことを推奨しております。
ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合
以下の手順をご参照ください。
ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合は、Log4jライブラリが必要になります。
4308以降のビルドへアップグレード後もRSA SecurIDをご利用される場合は、次の手順をご参照ください。
<手順>
・既にRSA SecurIDをご利用されている場合の手順
・4308以降のビルドへアップグレード後にRSA SecurIDをご利用予定の場合の手順
既にRSA SecurIDをご利用されている場合の手順
- <AD360_インストールディレクトリ>\libヘ移動
(例 C:\ManageEngine\AD360\lib) - 次のファイルを削除する
・authapi.jar
・log4j-1.2.8.jar
・log4j-1.2.15.jar - RSA SecurIDから以下のファイルを取得
・authapi.jar
・最新バージョンのLog4j jar - <AD360_インストールディレクトリ>\libヘ移動
- RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)を貼り付け
- [services.msc]にてAD360を再起動
4308以降のビルドへアップグレード後にRSA SecurIDをご利用予定の場合の手順
RSA SecurIDを設定前に、下記手順を実行してください。
- RSA SecurIDから以下のファイルを取得
・authapi.jar
・最新バージョンのLog4j jar - <AD360_インストールディレクトリ>\libヘ移動
- RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)を貼り付け
- [services.msc]にてAD360を再起動
AD360への影響(2021年12月13日 最新ビルド4226時点)
AD360は本脆弱性の影響を受けません。(コンポーネント製品からの影響も受けません。)
本脆弱性は、Log4jの2.0から2.14.1までのバージョンが対象です。
AD360は影響を受けないLog4jのバージョン:1.2.16を使用しています。
※2021年12月13日 最新ビルド4226現在
コンポーネント製品への影響
それぞれのナレッジベースをご参照ください。
・ADAudit Plus
・ADManager Plus
・ADSelfService Plus
・M365 Manager Plus