EventLog Analyzer ナレッジベース

【2021/1/13更新】「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/ CVE-2021-44832)への対応手順


本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228)への対応手順をご説明します。

「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/ CVE-2021-44832)はビルド12218で対応しました。したがいまして、脆弱性を回避するために、ビルド12218にアップグレードしてください。アップグレード手順の詳細はこちらのナレッジをご参照ください。

概要

2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228 ※外部サイト)が公表されました。

2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性(CVE-2021-45046※外部サイト)が公表されました。

2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性(CVE-2021-45105 ※外部サイト)が公表されました。

2022年1月13日追記
2021年12月28日、新たにApache Log4jの脆弱性(CVE-2021-44832 ※外部サイト)が公表されました。

EventLog Analyzerへの影響

ビルド 12041 以上のEventLog Analyzerが本脆弱性の影響を受けます。

※本脆弱性は Log4jの2.0から2.14.1までのバージョンが対象であり、EventLog Analyzer がバンドルするESモジュールがLog4jバージョン2.9.1を使用しています。

 

2022年3月11日追記
Apache Log4jの脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105/ CVE-2021-44832 )をいずれも回避するため、ビルド12218以上にアップグレードしてください。アップグレード手順の詳細はこちらのナレッジをご確認ください。

2021年12月16日追記
Apache Log4jの脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 )をいずれも回避するため、以下の手順2021年12月21日更新を実施してください。

2021年12月17日追記
対応手順がご利用ビルドによって異なります。
ビルド番号を確認する手順はこちらのナレッジをご参照ください。

 

【ビルド12157以上をご利用の場合】
手順(2021年12月21日更新):ビルド12157以上用を実施してください。

 

【ビルド12141以下をご利用の場合】
手順(2021年12月17日追記):ビルド12141以下用を実施してください。ビルド12141以下をご利用の場合において、手順(2021年12月21日更新):ビルド12157以上用を実施した場合、手順の切り戻しを実施後、手順(2021年12月17日追記):ビルド12141以下用を実施してください。手順の切り戻しが不可能な場合、ManageEngine Communityよりお問い合わせください。

手順(2021年12月21日更新):ビルド12157以上

2022年1月13日追記
下記手順に従い、log4j関連のファイルを2.17.0.バージョンのファイルに差し替えた場合、EventLog AnalyzerはCVE-2021-44832の影響は受けません。2.17.1.バージョンのご利用を希望される場合は、こちらのリンクより、log4j-2.17.1.zipファイルを取得し、同様の手順でファイルを差し替えてください。

1. log4j-core-2.17.0.zipファイルを取得します。

2. log4j-core-2.17.0.zipファイルを解凍後、以下3つのファイルを取得します。

  • log4j-1.2-api-2.17.0.jar
  • log4j-api-2.17.0.jar
  • log4j-core-2.17.0.jar

3. [services.msc]より、EventLog Analyzer([ManageEngine EventLog Analyzer])のサービスを停止します。
※Linuxをご利用の場合、以下のコマンドを実行することでEventLog Analyzerのサービスを停止できます(Red Hat Enterprise Linux 7/8 の場合)。

# systemctl stop eventloganalyzer

4. Log360のサービス([ManageEngine Log360])を停止します(Log360のサービスが存在しない場合や起動していない場合は本手順をスキップしてください)。
※Linuxをご利用の場合、本手順はスキップしてください。

5. 管理者としてコマンドプロンプトを起動後、<EventLog Analyzer_インストールフォルダー>\ES\bin\ に移動します。

6. "stopES.bat" を実行します。

7. <ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。

※新規インストールしたビルドによっては、elasticsearchフォルダーが存在しない場合があります。存在しない場合は手順7~8をスキップしてください。

8. "stopES.bat" を実行します。

9. 手順2で取得した3つのファイルを、以下フォルダー下に置きます。

  • <EventLog Analyzer_インストールフォルダー>\ES\libフォルダー
  • <ManageEngine_インストールフォルダー>\elasticsearch\ES\libフォルダー

※新規インストールしたビルドによっては、elasticsearchフォルダーが存在しない場合があります。存在しない場合は、<EventLog Analyzer_インストールフォルダー>\ES\libフォルダー下にのみ置いてください。

10. 上記2つのフォルダー下にある、以下3つのファイルを異なるディレクトリー下に退避させます。

  • log4j-1.2-api-2.9.1.jar
  • log4j-api-2.9.1.jar
  • log4j-core-2.9.1.jar

または、以下3つのファイルを異なるディレクトリー下に退避させます。

  • log4j-1.2-api-2.15.0.jar
  • log4j-api-2.15.0.jar
  • log4j-core-2.15.0.jar

または、以下3つのファイルを異なるディレクトリー下に退避させます。

  • log4j-1.2-api-2.16.0.jar
  • log4j-api-2.16.0.jar
  • log4j-core-2.16.0.jar

※退避させるファイルの種類は、本脆弱性対応のために実施した手順によって異なります。

11. [services.msc]より、Log360のサービスを開始します(Log360のサービスが存在しない場合や起動していない場合は本手順をスキップしてください)。
※Linuxをご利用の場合、本手順はスキップしてください。

12. EventLog Analyzerのサービスを開始します。
※Linuxをご利用の場合、以下のコマンドを実行することでEventLog Analyzerのサービスを開始できます(Red Hat Enterprise Linux 7/8 の場合)。

# systemctl start eventloganalyzer

手順(2021年12月21日更新)は以上です。

手順(2021年12月17日追記):ビルド12141以下用

1. log4j-patched.zipファイルを取得します。

2. log4j-patched.zipファイルを解凍後、log4j-core-2.9.1.jarファイルを取得します。

3. [services.msc]より、EventLog Analyzer([ManageEngine EventLog Analyzer])のサービスを停止します。
※Linuxをご利用の場合、以下のコマンドを実行することでEventLog Analyzerのサービスを停止できます(Red Hat Enterprise Linux 7/8 の場合)。

# systemctl stop eventloganalyzer

4. Log360のサービス([ManageEngine Log360])を停止します(Log360のサービスが存在しない場合や起動していない場合は本手順をスキップしてください)。
※Linuxをご利用の場合、本手順はスキップしてください。

5. 管理者としてコマンドプロンプトを起動後、<EventLog Analyzer_インストールフォルダー>\ES\bin\ に移動します。

6. "stopES.bat" を実行します。

7. <ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。

※新規インストールしたビルドによっては、elasticsearchフォルダーが存在しない場合があります。存在しない場合は手順7~8をスキップしてください。

8. "stopES.bat" を実行します。

9. 手順2で取得したファイルを、以下フォルダー下に置きます。同じファイル名のファイルが存在する場合、バックアップを取得後、差し替えます。

  • <EventLog Analyzer_インストールフォルダー>\ES\libフォルダー
  • <ManageEngine_インストールフォルダー>\elasticsearch\ES\libフォルダー

※新規インストールしたビルドによっては、elasticsearchフォルダーが存在しない場合があります。存在しない場合は、<EventLog Analyzer_インストールフォルダー>\ES\libフォルダー下にのみ置いてください。

10. [services.msc]より、Log360のサービスを開始します(Log360のサービスが存在しない場合や起動していない場合は本手順をスキップしてください)。
※Linuxをご利用の場合、本手順はスキップしてください。

11. EventLog Analyzerのサービスを開始します。
※Linuxをご利用の場合、以下のコマンドを実行することでEventLog Analyzerのサービスを開始できます(Red Hat Enterprise Linux 7/8 の場合)。

# systemctl start eventloganalyzer

手順(2021年12月17日追記)は以上です。

 

なお、下記の旧手順を行う必要はなくなりました。また、下記の旧手順を実施済の場合でも、本脆弱性を回避するためには上記手順(2021年12月21日更新):ビルド12157以上用、または、手順(2021年12月17日追記):ビルド12141以下用を実施してください。

参考:旧手順

1. log4j-jars.zipファイルを取得します。

2. log4j2Prop.zipファイルを解凍後、以下3つのファイルを取得します。

  • log4j-1.2-api-2.15.0.jar
  • log4j-api-2.15.0.jar
  • log4j-core-2.15.0.jar

3. EventLog Analyzer を停止します。

4. Log360 を停止します(起動していない場合は本手順をスキップしてください)。

5. 管理者としてコマンドプロンプトを起動後、<EventLog Analyzer_インストールフォルダー>\ES\bin\ に移動します。

6. "stopES.bat" を実行します。

7. <ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。

※新規インストールしたビルドによっては、elasticsearchフォルダーが存在しない場合があります。存在しない場合は手順7~8をスキップしてください。

8. "stopES.bat" を実行します。

9. 手順2で取得した3つのファイルを、以下フォルダー下に置きます。

  • <EventLog Analyzer_インストールフォルダー>\ES\libフォルダー
  • <ManageEngine_インストールフォルダー>\elasticsearch\ES\libフォルダー

※新規インストールしたビルドによっては、elasticsearchフォルダーが存在しない場合があります。存在しない場合は、<EventLog Analyzer_インストールフォルダー>\ES\libフォルダー下にのみ置いてください。

10. 上記2つのフォルダー下にある、以下3つのファイルを削除します。

  • log4j-1.2-api-2.9.1.jar
  • log4j-api-2.9.1.jar
  • log4j-core-2.9.1.jar

11. EventLog Analyzer を起動します。Log360をご利用の場合、Log360 も起動します。

 

手順は以上です。

 

なお、下記手順は過去に掲載された古い情報です。下記手順は実施しないでください。

【参考:旧手順】
1. log4j2Prop.zipファイルを取得します。
2. log4j2Prop.zipファイルを解凍後、log4j2.propertiesファイルを取得します。
3. log4j2.propertiesファイルを、<EventLog Analyzer_インストールフォルダー>\ES\config 下に置きます(既に存在する同ファイルと差し替えます)。
4. log4j2.propertiesファイルを、<ManageEngine_インストールフォルダー>\elasticsearch\ES\config 下に置きます(既に存在する同ファイルと差し替えます)。
5. 管理者としてコマンドプロンプトを起動後、<EventLog Analyzer_インストールフォルダー>\ES\bin\ に移動します。
6. "stopES.bat" を実行します。
7. <ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。
8. "stopES.bat" を実行します。