ADAudit Plus ナレッジベース

【2021/1/13更新】「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832)への対応手順


本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832)への対応手順をご説明します。

概要

2021年12月10日、Apache Log4jの深刻な脆弱性(CVE-2021-44228 ※外部サイト )が公表されました。

2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性(CVE-2021-45046 ※外部サイト )が公表されました。

2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性(CVE-2021-45105 ※外部サイト)が公表されました。

2022年1月13日追記
2021年12月28日、新たにApache Log4jの脆弱性(CVE-2021-44832 ※外部サイト)が公表されました。

ADAudit Plusへの影響

ビルド 6000 以上のADAudit Plusは本脆弱性の影響を受けます。本脆弱性は次期リリースで修正する予定です。

現在ご利用のビルド番号を確認する手順はこちらのナレッジをご参照ください。

※本脆弱性は Log4jの2.0から2.14.1までのバージョンが対象であり、ADAudit PlusはLog4jバージョン2.10を使用しています。

2021年12月16日追記
Apache Log4jの脆弱性をいずれも回避するため、以下の手順2021年12月21日更新を実施してください。

手順(2021年12月21日更新)

2022年1月13日追記
下記手順に従い、log4j関連のファイルを2.17.0.バージョンのファイルに差し替えた場合、ADAudit PlusはCVE-2021-44832の影響は受けません。2.17.1.バージョンのご利用を希望される場合は、こちらのリンクより、log4j-2.17.1.zipファイルを取得し、同様の手順でファイルを差し替えてください。

1. [services.msc]より、サービス[ManageEngine ADAudit Plus]を停止します(右クリック → [停止]をクリック)。サービス[ManageEngine ADAudit Plus - DataEngine XNode]も自動的に停止することを確認します。自動的に停止しない場合、手動で停止します(右クリック → [停止]をクリック)。

2. <ADAudit Plus_インストールフォルダー>\apps\dataengine-xnode\lib フォルダー下に存在する以下のファイルを、製品インストールフォルダー以外の異なるディレクトリーへ退避させます。

  • log4j-api-2.10.0.jar
  • log4j-core-2.10.0.jar
  • log4j-iostreams-2.10.0.jar
  • log4j-slf4j-impl-2.10.0.jar

または、以下4つのファイルを、製品インストールフォルダー以外の異なるディレクトリーへ退避させます。

  • log4j-api-2.15.0.jar
  • log4j-core-2.15.0.jar
  • log4j-iostreams-2.15.0.jar
  • log4j-slf4j-impl-2.15.0.jar

または、以下4つのファイルを、製品インストールフォルダー以外の異なるディレクトリーへ退避させます。

  • log4j-api-2.16.0.jar
  • log4j-core-2.16.0.jar
  • log4j-iostreams-2.16.0.jar
  • log4j-slf4j-impl-2.16.0.jar

※退避させるファイルの種類は、本脆弱性対応のために実施した手順によって異なります。

3. log4j-2.17.0.zipファイルを取得します。

4. log4j-2.17.0.zipを解凍後、以下4つのファイルが存在することを確認します。

  • log4j-api-2.17.0.jar
  • log4j-core-2.17.0.jar
  • log4j-iostreams-2.17.0.jar
  • log4j-slf4j-impl-2.17.0.jar

5. 手順4で取得した4つのファイルを、<ADAudit Plus_インストールフォルダー>\apps\dataengine-xnode\lib フォルダー下に置きます。

6. ADAudit Plusのサービスを開始します。サービス[ManageEngine ADAudit Plus - DataEngine XNode]も自動的に開始することを確認します。自動的に開始しない場合、手動で開始します。

手順(2021年12月21日更新)は以上です。

 

 

なお、下記の旧手順を行う必要はなくなりました。また、下記の旧手順を実施済の場合でも、本脆弱性を回避するためには上記手順(2021年12月21日更新)を実施してください。

参考:旧手順

1. ADAudit Plusのサービスを停止します。
2. <ADAudit Plus_インストールフォルダー>\conf\wrapper.confファイルを、メモ帳以外のテキストエディターで開きます。
3. "wrapper.java.additional" を検索して、最終行を確認します。
4. 最終行の1行下に、以下のパラメーターを追記します。

wrapper.java.additional.XX=-Dlog4j2.formatMsgNoLookups=true

XXには、手順3にて確認した最終行のパラメーターに記入された数字+1を入力してください。手順3にて確認した最終行のパラメーターに記入された数字が"24"の場合、以下のように追記します。

追記前

wrapper.java.additional.22=-Dorg.apache.catalina.authenticator.Constants.SSO_SESSION_COOKIE_NAME=JSESSIONIDADAPSSO
wrapper.java.additional.23=-DAllowedHosts=all
wrapper.java.additional.24=-Dmail.smtp.ssl.protocols="TLSv1.2 TLSv1.1 TLSv1"

追記後

wrapper.java.additional.22=-Dorg.apache.catalina.authenticator.Constants.SSO_SESSION_COOKIE_NAME=JSESSIONIDADAPSSO
wrapper.java.additional.23=-DAllowedHosts=all
wrapper.java.additional.24=-Dmail.smtp.ssl.protocols="TLSv1.2 TLSv1.1 TLSv1"
wrapper.java.additional.25=-Dlog4j2.formatMsgNoLookups=true

5. ファイルを保存して閉じます。
6. <ADAudit Plus_インストールフォルダー>\apps\dataengine-xnode\conf\wrapper.confファイルを、メモ帳以外のテキストエディターで開きます。
7. "wrapper.java.additional" を検索して、最終行を確認します。
8. 最終行の1行下に、以下のパラメーターを追記します。

wrapper.java.additional.XX=-Dlog4j2.formatMsgNoLookups=true

XXには、手順6にて確認した最終行のパラメーターに記入された数字+1を入力してください。手順6にて確認した最終行の数字が"19"の場合、以下のように追記します。

追記前

wrapper.java.additional.17=-XX:CMSInitiatingOccupancyFraction=75
wrapper.java.additional.18=-XX:+UseCMSInitiatingOccupancyOnly
wrapper.java.additional.19=-XX:+AlwaysPreTouch

追記後

wrapper.java.additional.17=-XX:CMSInitiatingOccupancyFraction=75
wrapper.java.additional.18=-XX:+UseCMSInitiatingOccupancyOnly
wrapper.java.additional.19=-XX:+AlwaysPreTouch
wrapper.java.additional.20=-Dlog4j2.formatMsgNoLookups=true

9. ファイルを保存して閉じます。
10. ADAudit Plusのサービスを開始します。

手順は以上です。