ADSelfService Plus ナレッジベース

「Apache Log4j」に関する脆弱性(CVE-2021-44228)について


本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228)の影響についてご説明します。

概要

2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228)が公表されました。

ADSelfService Plusへの影響 (2022年6月22日更新)

ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合/利用していない場合によって、
Log4jへの依存性が変わり、対応方法が異なります。なおどちらの場合にも脆弱性の影響は受けません。

ADSelfService PlusのMFAとして「RSA SecurID」を利用していない場合

最新ビルドでは、Log4jライブラリを完全に削除しています。
そのため、最新ビルドへアップグレードいただくことを推奨しております。

ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合

以下の手順をご参照ください。

ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合は、Log4jライブラリが必要になります。
ビルド6200へアップグレード後もRSA SecurIDをご利用される場合は、次の手順をご参照ください。

<手順>
既にRSA SecurIDをご利用されている場合の手順
ビルド6200へアップグレード後にRSA SecurIDをご利用予定の場合の手順

既にRSA SecurIDをご利用されている場合の手順
  1. <ADSelfServicePlus_インストールディレクトリ>\libヘ移動
    (例 C:\ManageEngine\ADSelfService Plus\lib)
  2. 次のファイルを削除する

    ・authiapi.jar
    ・log4j-1.2.8.jar
    ・log4j-1.2.15.jar

  3. RSA SecurIDから以下のファイルを取得

    ・authapi.jar
    ・最新バージョンのLog4j jar

  4. <ADSelfServicePlus_インストールディレクトリ>\libヘ移動
  5. RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)をペースト
ビルド6200へアップグレード後にRSA SecurIDをご利用予定の場合の手順
  1. RSA SecurIDから以下のファイルを取得

    ・authapi.jar
    ・最新バージョンのLog4j jar

  2. <ADSelfServicePlus_インストールディレクトリ>\libヘ移動
  3. RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)をペースト

ADSelfService Plusへの影響 (2021年12月15日)

ADSelfService Plusは、本脆弱性の影響を受けません。
本脆弱性は、Log4jの2.0から2.14.1までのバージョンが対象です。
ADSelfService Plusは、影響を受けないLog4jのバージョン:1.2.15を使用しています。
※2021年12月13日 最新ビルド6110現在