ADManager Plus ナレッジベース

本ナレッジでは、「Apache Log4j」に関する脆弱性（CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/CVE-2021-44832）への対応手順をご説明します。

概要

2021年12月10日に、Apache Log4jの深刻な脆弱性（CVE-2021-44228 ※外部サイト）が公表されました。

2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性（CVE-2021-45046 ※外部サイト ）が公表されました。

2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性（CVE-2021-45105 ※外部サイト ）が公表されました。

2022年1月31日追記
2021年12月28日、新たにApache Log4jの脆弱性（CVE-2021-44832 ※外部サイト ）が公表されました。

ADManager Plusへの影響

ビルド7122以前はCVE-2021-44228、CVE-45046およびCVE-2021-44832の脆弱性の影響を受けます。
ビルド7126以降のビルドで上記脆弱性に対する修正が含まれています。
そのため、ビルド7126へアップグレードしてください。
また、RSA認証をご利用されている場合、ご利用されていない場合によって対応いただく手順が異なります。

RSA認証をご利用されている場合

ビルド7126へのアップグレードのみ実施してください。（理由は、RSA認証にLog4jファイルが必要なためです。）

RSA認証をご利用されていない場合

ビルド7126にアップグレード後、手順　※RSA認証をご利用されていない場合の手順を実施してください。
ビルド7126にアップグレードした場合でも、指定のlog4jファイルの削除を推奨いたします。
※本手順の実行により、既存機能・既存設定に影響を与えることはありません。
※アップグレード方法はサービスパックのインストール手順をご参照ください。

ADManager PlusはCVE-2021-45105の脆弱性の影響を受けません。ADManager PlusはデフォルトのContext Lookupを使用しておりません。ビルド7126以降でも引き続き上記脆弱性の影響は受けません。

2021年12月16日追記
Apache Log4jの脆弱性（CVE-2021-44228/ CVE-2021-45046）をいずれも回避するため、
以下の手順（2021年12月16日追記）を実施してください。

2021年12月21日追記
Apache Log4jの脆弱性（CVE-2021-45105）の影響は受けません。
理由として、ADManager PlusはデフォルトのContext Lookupを使用していないためです。

2022年1月31日追記
ビルド7126をご利用の場合のみ、Apache Log4jの脆弱性（CVE-2021-44832）の影響は受けません。
影響を受けるバージョン（2.0-alpha7 から 2.17.0）を利用していないためです。

手順　※RSA認証をご利用されていない場合

1. ADManager Plusを停止します。
2. 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。
   

   ＜ADManager Plus_インストールディレクトリ＞lib
   ・log4j-1.2.16.jar
   ・log4j.properties
   ・authapi.jar

3. ADManager Plusを再起動します。

参考）旧手順（2021年12月23日更新）

1. ADManager Plusを停止します。
2. 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。
   

   ＜ADManager Plus_インストールディレクトリ＞ \ES\lib
   ・log4j-1.2-api-2.11.1.jar または log4j-1.2-api-2.16.0.jar
   ・log4j-api-2.11.1.jar または log4j-api-2.16.0.jar
   ・log4j-core-2.11.1.jar または log4j-core-2.16.0.jar

   ＜ADManager Plus_インストールディレクトリ＞\ES\plugins\search-guard-6
   ・log4j-slf4j-impl-2.11.1.jar または log4j-slf4j-impl-2.16.0.jar

3. 修正用ファイル（log4j-2.17.zip）をダウンロードし、展開します。
4. 各フォルダー配下にダウンロードしたファイルを配置します。
   

   ＜ADManager Plus_インストールディレクトリ＞ \ES\lib
   ・log4j-1.2-api-2.17.0.jar
   ・log4j-api-2.17.0.jar
   ・log4j-core-2.17.0.jar

   ＜ADManager Plus_インストールディレクトリ＞\ES\plugins\search-guard-6
   ・log4j-slf4j-impl-2.17.0.jar

5. ADManager Plusを起動します。
   注：Apacheの最新の対応により、下記の旧手順（12月16日、12月14日の修正）を行う必要はなくなりました。
   Apacheは、本脆弱性に対応するための.jarファイルをリリースしました。

参考）旧手順（2021年12月16日更新）

1. ADManager Plusを停止します。
2. 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。
   

   ＜ADManager Plus_インストールディレクトリ＞ \ES\lib
   ・log4j-1.2-api-2.11.1.jar
   ・log4j-api-2.11.1.jar
   ・log4j-core-2.11.1.jar

   ＜ADManager Plus_インストールディレクトリ＞\ES\plugins\search-guard-6
   ・log4j-slf4j-impl-2.11.1.jar

3. 修正用ファイルをダウンロードし、展開します。
4. 各フォルダー配下にダウンロードしたファイルを配置します。
   

   ＜ADManager Plus_インストールディレクトリ＞ \ES\lib
   ・log4j-1.2-api-2.16.0.jar
   ・log4j-api-2.16.0.jar
   ・log4j-core-2.16.0.jar

   ＜ADManager Plus_インストールディレクトリ＞\ES\plugins\search-guard-6
   ・log4j-slf4j-impl-2.16.0.jar

5. ADManager Plusを起動します。
   注：Apacheの最新の対応により、下記の旧手順（jvm.optionsファイル、wrapper_additional.confファイルの修正）を
   行う必要はなくなりました。Apacheは、本脆弱性に対応するための.jarファイルをリリースしました。

参考）旧手順（2021年12月14日更新）

1. ADManager Plusを停止します。
2. ＜ADManager Plus_インストールディレクトリ＞ \ES\configへ移動します。
3. jvm.optionsファイルのバックアップを取得します。
4. jvm.optionsファイルに下記を追記し、保存します。
   -Dlog4j2.formatMsgNoLookups=true
   
5. ＜ADManager Plus_インストールディレクトリ＞ \binに移動します。
6. wrapper_additional.confファイルのバックアップを取得します。
7. wrapper_additional.confファイルに下記を追記し、保存します。
   -Dlog4j2.formatMsgNoLookups=true
   
8. ADManager Plusを起動します。