【2022/1/13更新】「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832)への対応手順
作成日:2021年12月13日 | 更新日:2023年4月19日
本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832)への対応手順をご説明します。
Log360のビルドを「5279」以上、Log360 UEBAを「4037」以上にアップグレードしてください。
アップグレード手順はLog360 / Log360 UEBAをご参照ください。
アップグレード完了後、以下に記載された手順の実施は不要です。
概要
2021年12月10日に、Apache Log4jの深刻な脆弱性(CVE-2021-44228 ※外部サイト)が公表されました。
2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性(CVE-2021-45046 ※外部サイト)が公表されました。
2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性(CVE-2021-45105 ※外部サイト)が公表されました。
2022年1月13日追記
2021年12月28日、新たにApache Log4jの脆弱性(CVE-2021-44832 ※外部サイト)が公表されました。
Log360・Log360 UEBA への影響
Log360・Log360 UEBA は本脆弱性の影響を受けます。
※本脆弱性は Log4jの2.0から2.14.1までのバージョンが対象であり、Log360 がバンドルするESモジュールが Log4jバージョン2.9.1を使用しています。Log360 UEBAはLog4jバージョン2.11.1を使用しています。
また、Log360のコンポーネント製品である ADAudit Plus、EventLog Analyzer、M365 Manager Plus も影響を受けます。
両製品における対応手順は各ナレッジをご参照ください。
2021年12月16日追記
Apache Log4jの脆弱性をいずれも回避するため、Log360に対して手順(2021年12月21日更新)を実施してください。Log360 UEBAに対してUEBAに対する手順(2021年12月23日更新)を実施してください。
手順(2021年12月21日更新)
2022年1月13日追記
下記手順に従い、log4j関連のファイルを2.17.0.バージョンのファイルに差し替えた場合、Log360はCVE-2021-44832の影響は受けません。2.17.1.バージョンのご利用を希望される場合は、こちらのリンクより、log4j-2.17.1.zipファイルを取得し、同様の手順でファイルを差し替えてください。
1. log4j-core-2.17.0.zipファイルを取得します。
2. log4j-core-2.17.0.zipファイルを解凍後、以下3つのファイルを取得します。
- log4j-1.2-api-2.17.0.jar
- log4j-api-2.17.0.jar
- log4j-core-2.17.0.jar
3. [services.msc]より、Log360のサービスを停止します。
4. 管理者としてコマンドプロンプトを起動後、<ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。
5. "stopES.bat" を実行します。
6. 手順2で取得した3つのファイルを、以下フォルダー下に置きます。
- <ManageEngine_インストールフォルダー>\elasticsearch\ES\libフォルダー
7. 上記フォルダー下にある、以下3つのファイルを異なるディレクトリー下に退避させます。
- log4j-1.2-api-2.9.1.jar
- log4j-api-2.9.1.jar
- log4j-core-2.9.1.jar
または、以下3つのファイルを異なるディレクトリー下に退避させます。
- log4j-1.2-api-2.15.0.jar
- log4j-api-2.15.0.jar
- log4j-core-2.15.0.jar
または、以下3つのファイルを異なるディレクトリー下に退避させます。
- log4j-1.2-api-2.16.0.jar
- log4j-api-2.16.0.jar
- log4j-core-2.16.0.jar
※退避させるファイルの種類は、本脆弱性対応のために実施した手順によって異なります。
8. [services.msc]より、Log360のサービスを起動します。
手順(2021年12月21日更新)は以上です。
なお、下記の旧手順を行う必要はなくなりました。また、下記の旧手順を実施済の場合でも、本脆弱性を回避するためには上記手順(2021年12月21日更新)を実施してください。
参考:Log360に対する旧手順
1. log4j-jars.zipファイルを取得します。
2. log4j2Prop.zipファイルを解凍後、以下3つのファイルを取得します。
- log4j-1.2-api-2.15.0.jar
- log4j-api-2.15.0.jar
- log4j-core-2.15.0.jar
3. [services.msc]より、Log360のサービスを停止します。
4. 管理者としてコマンドプロンプトを起動後、<ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。
5. "stopES.bat" を実行します。
6. 手順2で取得した3つのファイルを、以下フォルダー下に置きます。
- <ManageEngine_インストールフォルダー>\elasticsearch\ES\libフォルダー
7. 上記フォルダー下にある、以下3つのファイルを削除します。
- log4j-1.2-api-2.9.1.jar
- log4j-api-2.9.1.jar
- log4j-core-2.9.1.jar
8. [services.msc]より、Log360のサービスを起動します。
なお、下記手順は過去に掲載された古い情報です。下記手順は実施しないでください。
【参考:旧手順】
1. log4j2Prop.zipファイルを取得します。
2. log4j2Prop.zipファイルを解凍後、log4j2.propertiesファイルを取得します。
3. log4j2.propertiesファイルを、<ManageEngine_インストールフォルダー>\elasticsearch\ES\config 下に置きます(既に存在する同ファイルと差し替えます)。
4. 管理者としてコマンドプロンプトを起動後、<ManageEngine_インストールフォルダー>\elasticsearch\ES\bin フォルダーに移動します。
5. "stopES.bat" を実行します。
2021年12月17日追記
Apache Log4jの脆弱性をいずれも回避するため、Log360 UEBAに対して以下のUEBAに対する手順(2021年12月23日更新)を実施してください。
Log360 UEBA に対する手順(2021年12月23日更新)
2022年1月13日追記
下記手順に従い、log4j関連のファイルを2.17.0.バージョンのファイルに差し替えた場合、Log360 UEBAはCVE-2021-44832の影響を受けません。2.17.1.バージョンのご利用を希望される場合は、こちらのリンクより、log4j-2.17.1.zipファイルを取得し、同様の手順でファイルを差し替えてください。
1. [services.msc]より、サービス[ManageEngine Log360 UEBA]を停止します。
2. <Log360UEBA_インストールフォルダー>\ES\libフォルダー下に存在する以下3つのファイルを、UEBAインストールフォルダー外に退避させます。
- log4j-1.2-api-2.9.1.jar
- log4j-api-2.9.1.jar
- log4j-core-2.9.1.jar
または、以下3つのファイルを、UEBAインストールフォルダー外に退避させます。
- log4j-1.2-api-2.11.1.jar
- log4j-api-2.11.1.jar
- log4j-core-2.11.1.jar
または、以下3つのファイルを、UEBAインストールフォルダー外に退避させます。
- log4j-1.2-api-2.16.0.jar
- log4j-api-2.16.0.jar
- log4j-core-2.16.0.jar
※退避させるファイルの種類は、本脆弱性対応のために実施した手順によって異なります。
3. <Log360UEBA_インストールフォルダー>\libフォルダー下に存在するlog4j-1.2.15 ファイルをUEBAインストールフォルダー外に退避させます。
※log4j-1.2.15 ファイルはビルド4031以上をご利用の場合のみ存在します。ビルド4031より古いビルドをご利用の場合は、手順3をスキップしてください。
4. log4j-2.17.0.zipファイルを取得します。
5. log4j-2.17.0.zipファイルを解凍後、以下3つのファイルを取得します。
- log4j-1.2-api-2.17.0.jar
- log4j-api-2.17.0.jar
- log4j-core-2.17.0.jar
6. 上記3つのファイルを、<Log360UEBA_インストールフォルダー>\ES\libフォルダー下に置きます。
7. [services.msc]より、サービス[ManageEngine Log360 UEBA]を開始します。
UEBAに対する手順(2021年12月23日更新)は以上です。
なお、下記の旧手順を行う必要はなくなりました。また、下記の旧手順を実施済の場合でも、本脆弱性を回避するためには上記UEBAに対する手順(2021年12月23日更新)を実施してください。
【参考:旧手順】
1. Log360 UEBAのサービスを停止します。
2. <Log360UEBA_インストールフォルダー>\ES\config\jvm.options のバックアップを取得します。
3. jvm.options ファイルを任意のテキストエディターで開きます。
4. "-Dlog4j2.disable.jmx=true" を検索します。
5. "-Dlog4j2.disable.jmx=true" の1行下に以下のパラメーターを追記します。
-Dlog4j2.formatMsgNoLookups=true
追記前
# log4j 2
-Dlog4j.shutdownHookEnabled=false
-Dlog4j2.disable.jmx=true
追記後
# log4j 2
-Dlog4j.shutdownHookEnabled=false
-Dlog4j2.disable.jmx=true
-Dlog4j2.formatMsgNoLookups=true
6. ファイルを保存して閉じます。
7. <Log360UEBA_インストールフォルダー>\conf\wrapper.conf のバックアップを取得します。
8. wrapper.conf ファイルを任意のテキストエディターで開きます。
9. "wrapper.java.additional" を検索して、最終行を確認します。
10. 最終行の1行下に、以下のパラメーターを追記します。
wrapper.java.additional.XX=-Dlog4j2.formatMsgNoLookups=true
※XXには、手順9にて確認した最終行のパラメーターに記入された数字+1を入力してください。手順9にて確認した最終行の数字が"18"の場合、以下のように追記します。
追記前
wrapper.java.additional.16=-XX:OnOutOfMemoryError="SetMaxMemory.bat" #Call SetMaxMemory.bat file
wrapper.java.additional.18=-XX:-CreateMinidumpOnCrash
追記後
wrapper.java.additional.16=-XX:OnOutOfMemoryError="SetMaxMemory.bat" #Call SetMaxMemory.bat file
wrapper.java.additional.18=-XX:-CreateMinidumpOnCrash
wrapper.java.additional.19=-Dlog4j2.formatMsgNoLookups=true
11. ファイルを保存して閉じます。
12. Log360 UEBA のサービスを開始します。
手順は以上です。