【2022/1/12更新】「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832)について
作成日:2021年12月14日 | 更新日:2023年4月19日
本ナレッジでは、「Apache Log4j」に関する脆弱性(CVE-2021-44228 / CVE-2021-45046 / CVE-2021-45105 / CVE-2021-44832)への対応手順をご説明します。
新たなApache Log4jの脆弱性(CVE-2021-44832)の公表に伴い、2022年1月12日に対応手順を更新いたしました。
概要
2021年12月10日、Apache Log4jの深刻な脆弱性(以下、本脆弱性)が公表されました。
CVE-2021-44228 (※外部サイト)
2021年12月16日追記
2021年12月15日、新たにApache Log4jの脆弱性(CVE-2021-45046 ※外部サイト)が公表されました。
2021年12月21日追記
2021年12月17日、新たにApache Log4jの脆弱性(CVE-2021-45105 ※外部サイト)が公表されました。
2022年1月12日追記
2021年12月28日、新たにApache Log4jの脆弱性(CVE-2021-44832 ※外部サイト)が公表されました。
影響範囲
M365 Manager Plusはビルド4425までの全てのビルドが本脆弱性の影響を受けます。
現在ご利用のビルドにて本脆弱性を回避するためには、以下の手順を実施してください。
ビルド4425をご利用の場合も以下の手順の実施をお願いいたします。
手順 ※2022年1月12日更新
本脆弱性はビルド4509以降で修正されています。ビルド4509よりも前のビルドをご利用の場合はアップグレードしてください。
以降の手順はビルド4509リリース前に掲載していた手順です。
以降の手順はビルド4509リリース前に掲載していた手順です。
- M365 Manager Plusサービスを停止します。
- <M365 Manager Plus_インストールフォルダー>\elasticsearch\libに移動します。
- 以下のファイルを、製品インストールフォルダー以外の異なるディレクトリーへ移動させます。
- log4j-1.2-api-2.11.1.jar
- log4j-api-2.11.1.jar
- log4j-core-2.11.1.jar
もしくは
- log4j-1.2-api-2.16.0.jar
- log4j-api-2.16.0.jar
- log4j-core-2.16.0.jar
- log4j-2.17.0.zipをダウンロードし、<M365 Manager Plus_インストールフォルダー>\elasticsearch\libに展開します。
以下のファイルが展開されます。- log4j-1.2-api-2.17.0.jar
- log4j-api-2.17.0.jar
- log4j-core-2.17.0.jar
- <M365 Manager Plus_インストールフォルダー>\elasticsearch\plugins\search-guard-6 に移動します。
- 以下のファイルを、製品インストールフォルダー以外の異なるディレクトリーへ移動させます。
- log4j-slf4j-impl-2.11.1.jar
もしくは
- log4j-slf4j-impl-2.16.0.jar
- log4j-slf4j-impl-2.17.0.jarをダウンロードし、<M365 Manager Plus_インストールフォルダー>\elasticsearch\plugins\search-guard-6に配置します。
- M365 Manager Plusサービスを再起動します。
2022年1月12日追記
上記の手順に従い、log4j関連のファイルを2.17.0.バージョンのファイルを差し替えた場合は、M365 Manager PlusはCVE-2021-44832の影響は受けません。
2.17.1.バージョンのご利用を希望される場合は同様の手順で以下のファイルに差し替えてください。
上記の手順に従い、log4j関連のファイルを2.17.0.バージョンのファイルを差し替えた場合は、M365 Manager PlusはCVE-2021-44832の影響は受けません。
2.17.1.バージョンのご利用を希望される場合は同様の手順で以下のファイルに差し替えてください。
注:Apacheの最新の対応により、下記の旧手順(jvm.optionsファイル、wrapper.confファイルの修正)を行う必要はなくなりました。Apacheは、本脆弱性に対応するための.jarファイルをリリースしました。
参考)旧手順
-
- M365 Manager Plusサービスを停止します。
- <M365 Manager Plus_インストールフォルダー>\M365 Manager Plus\elasticsearch\config フォルダに移動し、jvm.optionsのバックアップを取得します。
- jvm.optionsをメモ帳以外のテキストエディターで開き、以下の行を追加します。※挿入箇所は下記画像参照
-Dlog4j2.formatMsgNoLookups=true
- <M365 Manager Plus_インストールフォルダー>\M365 Manager Plus\conf に移動します。
- wrapper.confのバックアップを取得します。
- wrapper.confをメモ帳以外のテキストエディターで開き、以下の行を追加します。※挿入箇所は下記画像参照
-Dlog4j2.formatMsgNoLookups=true
- M365 Manager Plusサービスを起動します。