「Apache Log4j」に関する脆弱性(CVE-2021-44228/CVE-2021-45046/CVE-2021-45105)への対応手順
作成日:2021年12月14日 | 更新日:2023年4月19日
本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/CVE-2021-44832)への対応手順をご説明します。
概要
2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228 ※外部サイト)が公表されました。
2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性(CVE-2021-45046 ※外部サイト )が公表されました。
2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性(CVE-2021-45105 ※外部サイト )が公表されました。
2022年1月31日追記
2021年12月28日、新たにApache Log4jの脆弱性(CVE-2021-44832 ※外部サイト )が公表されました。
ADManager Plusへの影響
ビルド7122以前はCVE-2021-44228、CVE-45046およびCVE-2021-44832の脆弱性の影響を受けます。
ビルド7126以降のビルドで上記脆弱性に対する修正が含まれています。
そのため、ビルド7126へアップグレードしてください。
また、RSA認証をご利用されている場合、ご利用されていない場合によって対応いただく手順が異なります。
RSA認証をご利用されている場合
ビルド7126へのアップグレードのみ実施してください。(理由は、RSA認証にLog4jファイルが必要なためです。)
RSA認証をご利用されていない場合
ビルド7126にアップグレード後、手順 ※RSA認証をご利用されていない場合の手順を実施してください。
ビルド7126にアップグレードした場合でも、指定のlog4jファイルの削除を推奨いたします。
※本手順の実行により、既存機能・既存設定に影響を与えることはありません。
※アップグレード方法はサービスパックのインストール手順をご参照ください。
ADManager PlusはCVE-2021-45105の脆弱性の影響を受けません。ADManager PlusはデフォルトのContext Lookupを使用しておりません。ビルド7126以降でも引き続き上記脆弱性の影響は受けません。
2021年12月16日追記
Apache Log4jの脆弱性(CVE-2021-44228/ CVE-2021-45046)をいずれも回避するため、
以下の手順(2021年12月16日追記)を実施してください。
2021年12月21日追記
Apache Log4jの脆弱性(CVE-2021-45105)の影響は受けません。
理由として、ADManager PlusはデフォルトのContext Lookupを使用していないためです。
2022年1月31日追記
ビルド7126をご利用の場合のみ、Apache Log4jの脆弱性(CVE-2021-44832)の影響は受けません。
影響を受けるバージョン(2.0-alpha7 から 2.17.0)を利用していないためです。
手順 ※RSA認証をご利用されていない場合
- ADManager Plusを停止します。
- 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。
<ADManager Plus_インストールディレクトリ>lib
・log4j-1.2.16.jar
・log4j.properties
・authapi.jar - ADManager Plusを再起動します。
参考)旧手順(2021年12月23日更新)
- ADManager Plusを停止します。
- 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。
<ADManager Plus_インストールディレクトリ> \ES\lib
・log4j-1.2-api-2.11.1.jar または log4j-1.2-api-2.16.0.jar
・log4j-api-2.11.1.jar または log4j-api-2.16.0.jar
・log4j-core-2.11.1.jar または log4j-core-2.16.0.jar<ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
・log4j-slf4j-impl-2.11.1.jar または log4j-slf4j-impl-2.16.0.jar - 修正用ファイル(log4j-2.17.zip)をダウンロードし、展開します。
- 各フォルダー配下にダウンロードしたファイルを配置します。
<ADManager Plus_インストールディレクトリ> \ES\lib
・log4j-1.2-api-2.17.0.jar
・log4j-api-2.17.0.jar
・log4j-core-2.17.0.jar<ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
・log4j-slf4j-impl-2.17.0.jar - ADManager Plusを起動します。
参考)旧手順(2021年12月16日更新)
- ADManager Plusを停止します。
- 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。
<ADManager Plus_インストールディレクトリ> \ES\lib
・log4j-1.2-api-2.11.1.jar
・log4j-api-2.11.1.jar
・log4j-core-2.11.1.jar<ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
・log4j-slf4j-impl-2.11.1.jar - 修正用ファイルをダウンロードし、展開します。
- 各フォルダー配下にダウンロードしたファイルを配置します。
<ADManager Plus_インストールディレクトリ> \ES\lib
・log4j-1.2-api-2.16.0.jar
・log4j-api-2.16.0.jar
・log4j-core-2.16.0.jar<ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
・log4j-slf4j-impl-2.16.0.jar - ADManager Plusを起動します。
注:Apacheの最新の対応により、下記の旧手順(jvm.optionsファイル、wrapper_additional.confファイルの修正)を
行う必要はなくなりました。Apacheは、本脆弱性に対応するための.jarファイルをリリースしました。
参考)旧手順(2021年12月14日更新)
- ADManager Plusを停止します。
- <ADManager Plus_インストールディレクトリ> \ES\configへ移動します。
- jvm.optionsファイルのバックアップを取得します。
- jvm.optionsファイルに下記を追記し、保存します。
-Dlog4j2.formatMsgNoLookups=true
- <ADManager Plus_インストールディレクトリ> \binに移動します。
- wrapper_additional.confファイルのバックアップを取得します。
- wrapper_additional.confファイルに下記を追記し、保存します。
-Dlog4j2.formatMsgNoLookups=true
- ADManager Plusを起動します。