ADManager Plus ナレッジベース

「Apache Log4j」に関する脆弱性(CVE-2021-44228/CVE-2021-45046/CVE-2021-45105)への対応手順


本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/CVE-2021-44832)への対応手順をご説明します。

概要

2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228 ※外部サイト)が公表されました。

2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性(CVE-2021-45046 ※外部サイト )が公表されました。

2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性(CVE-2021-45105 ※外部サイト )が公表されました。

2022年1月31日追記
2021年12月28日、新たにApache Log4jの脆弱性(CVE-2021-44832 ※外部サイト )が公表されました。

ADManager Plusへの影響

ビルド7122以前はCVE-2021-44228、CVE-45046およびCVE-2021-44832の脆弱性の影響を受けます。
ビルド7126以降のビルドで上記脆弱性に対する修正が含まれています。
そのため、ビルド7126へアップグレードしてください。
また、RSA認証をご利用されている場合ご利用されていない場合によって対応いただく手順が異なります。

RSA認証をご利用されている場合

ビルド7126へのアップグレードのみ実施してください。(理由は、RSA認証にLog4jファイルが必要なためです。)

RSA認証をご利用されていない場合

ビルド7126にアップグレード後、手順 ※RSA認証をご利用されていない場合の手順を実施してください。
ビルド7126にアップグレードした場合でも、指定のlog4jファイルの削除を推奨いたします。
※本手順の実行により、既存機能・既存設定に影響を与えることはありません。
※アップグレード方法はサービスパックのインストール手順をご参照ください。

ADManager PlusはCVE-2021-45105の脆弱性の影響を受けません。ADManager PlusはデフォルトのContext Lookupを使用しておりません。ビルド7126以降でも引き続き上記脆弱性の影響は受けません。

2021年12月16日追記
Apache Log4jの脆弱性(CVE-2021-44228/ CVE-2021-45046)をいずれも回避するため、
以下の手順(2021年12月16日追記)を実施してください。

2021年12月21日追記
Apache Log4jの脆弱性(CVE-2021-45105)の影響は受けません。
理由として、ADManager PlusはデフォルトのContext Lookupを使用していないためです。

2022年1月31日追記
ビルド7126をご利用の場合のみ、Apache Log4jの脆弱性(CVE-2021-44832)の影響は受けません。
影響を受けるバージョン(2.0-alpha7 から 2.17.0)を利用していないためです。

手順 ※RSA認証をご利用されていない場合

  1. ADManager Plusを停止します。
  2. 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。

    <ADManager Plus_インストールディレクトリ>lib
    log4j-1.2.16.jar
    log4j.properties
    authapi.jar

  3. ADManager Plusを再起動します。

参考)旧手順(2021年12月23日更新)

  1. ADManager Plusを停止します。
  2. 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。

    <ADManager Plus_インストールディレクトリ> \ES\lib
    log4j-1.2-api-2.11.1.jar または log4j-1.2-api-2.16.0.jar
    log4j-api-2.11.1.jar または log4j-api-2.16.0.jar
    log4j-core-2.11.1.jar または log4j-core-2.16.0.jar

    <ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
    log4j-slf4j-impl-2.11.1.jar または log4j-slf4j-impl-2.16.0.jar

  3. 修正用ファイル(log4j-2.17.zip)をダウンロードし、展開します。
  4. 各フォルダー配下にダウンロードしたファイルを配置します。

    <ADManager Plus_インストールディレクトリ> \ES\lib
    log4j-1.2-api-2.17.0.jar
    log4j-api-2.17.0.jar
    log4j-core-2.17.0.jar

    <ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
    log4j-slf4j-impl-2.17.0.jar

  5. ADManager Plusを起動します。
    注:Apacheの最新の対応により、下記の旧手順(12月16日12月14日の修正)を行う必要はなくなりました。
    Apacheは、本脆弱性に対応するための.jarファイルをリリースしました。

参考)旧手順(2021年12月16日更新)

  1. ADManager Plusを停止します。
  2. 各フォルダー配下の以下のファイルのバックアップを取得し、フォルダーから削除します。

    <ADManager Plus_インストールディレクトリ> \ES\lib
    ・log4j-1.2-api-2.11.1.jar
    ・log4j-api-2.11.1.jar
    ・log4j-core-2.11.1.jar

    <ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
    ・log4j-slf4j-impl-2.11.1.jar

  3. 修正用ファイルをダウンロードし、展開します。
  4. 各フォルダー配下にダウンロードしたファイルを配置します。

    <ADManager Plus_インストールディレクトリ> \ES\lib
    ・log4j-1.2-api-2.16.0.jar
    ・log4j-api-2.16.0.jar
    ・log4j-core-2.16.0.jar

    <ADManager Plus_インストールディレクトリ>\ES\plugins\search-guard-6
    ・log4j-slf4j-impl-2.16.0.jar

  5. ADManager Plusを起動します。
    注:Apacheの最新の対応により、下記の旧手順(jvm.optionsファイル、wrapper_additional.confファイルの修正)を
    行う必要はなくなりました。Apacheは、本脆弱性に対応するための.jarファイルをリリースしました。

参考)旧手順(2021年12月14日更新)

  1. ADManager Plusを停止します。
  2. <ADManager Plus_インストールディレクトリ> \ES\configへ移動します。
  3. jvm.optionsファイルのバックアップを取得します。
  4. jvm.optionsファイルに下記を追記し、保存します。
    -Dlog4j2.formatMsgNoLookups=true
  5. <ADManager Plus_インストールディレクトリ> \binに移動します。
  6. wrapper_additional.confファイルのバックアップを取得します。
  7. wrapper_additional.confファイルに下記を追記し、保存します。
    -Dlog4j2.formatMsgNoLookups=true
  8. ADManager Plusを起動します。