「Apache Log4j」に関する脆弱性(CVE-2021-44228)について
本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228)の影響についてご説明します。
概要
2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228)が公表されました。
ADSelfService Plusへの影響 (2022年6月22日更新)
ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合/利用していない場合によって、
Log4jへの依存性が変わり、対応方法が異なります。なおどちらの場合にも脆弱性の影響は受けません。
ADSelfService PlusのMFAとして「RSA SecurID」を利用していない場合
最新ビルドでは、Log4jライブラリを完全に削除しています。
そのため、最新ビルドへアップグレードいただくことを推奨しております。
ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合
以下の手順をご参照ください。
ADSelfService PlusのMFAとして「RSA SecurID」を利用している場合は、Log4jライブラリが必要になります。
ビルド6200へアップグレード後もRSA SecurIDをご利用される場合は、次の手順をご参照ください。
<手順>
・既にRSA SecurIDをご利用されている場合の手順
・ビルド6200へアップグレード後にRSA SecurIDをご利用予定の場合の手順
既にRSA SecurIDをご利用されている場合の手順
- <ADSelfServicePlus_インストールディレクトリ>\libヘ移動
(例 C:\ManageEngine\ADSelfService Plus\lib) - 次のファイルを削除する
・authiapi.jar
・log4j-1.2.8.jar
・log4j-1.2.15.jar - RSA SecurIDから以下のファイルを取得
・authapi.jar
・最新バージョンのLog4j jar - <ADSelfServicePlus_インストールディレクトリ>\libヘ移動
- RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)をペースト
ビルド6200へアップグレード後にRSA SecurIDをご利用予定の場合の手順
- RSA SecurIDから以下のファイルを取得
・authapi.jar
・最新バージョンのLog4j jar - <ADSelfServicePlus_インストールディレクトリ>\libヘ移動
- RSA SecurIDから取得したファイル(authapi.jarおよびLog4j jar)をペースト
ADSelfService Plusへの影響 (2021年12月15日)
ADSelfService Plusは、本脆弱性の影響を受けません。
本脆弱性は、Log4jの2.0から2.14.1までのバージョンが対象です。
ADSelfService Plusは、影響を受けないLog4jのバージョン:1.2.15を使用しています。
※2021年12月13日 最新ビルド6110現在