AD360ナレッジベース

「Apache Log4j」に関する脆弱性(CVE-2021-44228)について


本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228)の影響についてご説明します。

概要

2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228)が公表されました。

AD360への影響(2022年9月15日 最新ビルド4308時点)

ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合/利用していない場合によって、
Log4jへの依存性が変わり、対応方法が異なります。なおどちらの場合にも脆弱性の影響は受けません。

ADSelfService PlusのMFAとして「RSA SecurID」を利用していない場合

ビルド4308(グローバルリリースではビルド4302)では、Log4jライブラリを完全に削除しています。
そのため、4308以降のビルドへアップグレードいただくことを推奨しております。

ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合

以下の手順をご参照ください。

ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合は、Log4jライブラリが必要になります。
4308以降のビルドへアップグレード後もRSA SecurIDをご利用される場合は、次の手順をご参照ください。

<手順>
既にRSA SecurIDをご利用されている場合の手順
4308以降のビルドへアップグレード後にRSA SecurIDをご利用予定の場合の手順

既にRSA SecurIDをご利用されている場合の手順
  1. <AD360_インストールディレクトリ>\libヘ移動
    (例 C:\ManageEngine\AD360\lib)
  2. 次のファイルを削除する

    ・authapi.jar
    ・log4j-1.2.8.jar
    ・log4j-1.2.15.jar

  3. RSA SecurIDから以下のファイルを取得

    ・authapi.jar
    ・最新バージョンのLog4j jar

  4. <AD360_インストールディレクトリ>\libヘ移動
  5. RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)を貼り付け
  6. [services.msc]にてAD360を再起動
4308以降のビルドへアップグレード後にRSA SecurIDをご利用予定の場合の手順

RSA SecurIDを設定前に、下記手順を実行してください。

  1. RSA SecurIDから以下のファイルを取得

    ・authapi.jar
    ・最新バージョンのLog4j jar

  2. <AD360_インストールディレクトリ>\libヘ移動
  3. RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)を貼り付け
  4. [services.msc]にてAD360を再起動

AD360への影響(2021年12月13日 最新ビルド4226時点)

AD360は本脆弱性の影響を受けません。(コンポーネント製品からの影響も受けません。)
本脆弱性は、Log4jの2.0から2.14.1までのバージョンが対象です。
AD360は影響を受けないLog4jのバージョン:1.2.16を使用しています。

※2021年12月13日 最新ビルド4226現在

コンポーネント製品への影響

それぞれのナレッジベースをご参照ください。
ADAudit Plus
ADManager Plus
ADSelfService Plus
M365 Manager Plus