================================================================================ NEC Information Assessmnet System V4.2SP3 log4j2脆弱性対応パッチ リリースメモ NEC AIプラットフォーム事業部 2021年12月24日 ================================================================================ NEC Information Assessment System (以下、NIAS) で利用している脆弱性(※1)が 存在するlog4j2を脆弱性を解消したバージョン(2.17.0)に置き換えを行うモジュールを リリースいたします。 (※1)CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 -------------------------------------------------------------------------- ■前提条件 ・適用前のNIASのバージョン情報が 4.2.24674~4.2.27537 であること  確認方法:NIASのログイン画面の上部に表示されるバージョン情報で確認可能       例:NEC Information Assessment System Version 4.2.24674 -------------------------------------------------------------------------- ■適用手順  適用手順は以下の通りとなります。  <注意事項>   複数台構成の場合、①、③~⑤は全てのNIASサーバ(マスター・スレーブ)で   実行してください。   エージェントを利用している場合、①、③~⑤はNIASサーバと全てのエージェント   サーバで実行してください。    ①Release.zipの解凍   任意の場所にRelease.zipをコピーして解凍してください。   解凍すると「log4j2update」が作成されその配下に以下のフォルダ・ファイルが   展開されます   ・「jar」フォルダ    - こちらのフォルダにver.2.17.0のlog4jのjarを配置してあります   ・ nias_log4j_update.bat    - log4j2を置き換えるバッチとなります    ②NIASのシステム停止   [運用ガイド] - [8.2 システムの停止]を参照の上、   NIASをシステム停止させてください。    ③NIAS関連サービスの停止   全てのNIASサーバ及びエージェントサーバにて、サービスの停止を   行う必要があります。以下の<サービス停止手順>に従って   サービスの停止を行ってください。   エージェント構成や複数台構成時は、マスターサーバのサービス停止を行った後に   スレーブサーバやエージェントサーバのサービス停止を行う必要がありますので   ご注意ください。      <サービス停止手順>   ・NIASサーバ(シングル構成や、複数台構成時のマスターサーバ・スレーブサーバはこちら)    [コントロールパネル] -> [管理ツール] -> [サービス]を開き以下の順番でサービスを    停止してください。    - Apache Tomcat 9.0 Tomcat9    - Information Assessment System Agent Service    - Information Assessment System Scheduler Service    - Information Assessment System Booster Service    - Information Assessment System Migration Scheduler Service       ・エージェントサーバ    [コントロールパネル] -> [管理ツール] -> [サービス]を開き以下のサービスを    停止してください。    - Information Assessment System Agent Service      ④バッチ実行   NIASサーバ(複数台構成の場合は、マスターサーバ、スレーブサーバの全て)上と   エージェントを利用している場合はエージェントサーバ上で以下の通りバッチを   実行してください。      コマンドプロンプトを立ち上げます。   この時、必ずNIASサーバの管理者権限を持つユーザで実行してください。     「nias_log4j_update.bat」が格納されているフォルダに移動します。    例)cd C:\Users\User\Desktop\log4j2update     「nias_log4j_update.bat」と入力し、バッチを実行してください。   「jarの差替えが完了しました。」と表示されましたら、アップデートは完了となります。      ただし、以下のようなメッセージが出力されている場合は正常にバッチの処理が   完了しておりません。      ~ログ出力例(失敗)~   ・プロセスはファイルにアクセスできません。別のプロセスが使用中です。   ・アクセスが拒否されました。      上記メッセージが出力された場合、NIAS関連サービスが停止されていないことや   バッチ実行ユーザのアクセス権に問題がある可能性がありますので、   NIAS関連サービスの停止状況や実行ユーザのアクセス権をご確認ください。     ⑤NIAS関連サービスの起動   全てのNIASサーバ及びエージェントサーバにて、サービスの開始を   行う必要があります。以下の<サービス開始手順>に従って   サービスの開始を行ってください。   エージェント構成や、複数台構成時はスレーブサーバやエージェントサーバの   サービス起動を実施した後に、マスターサーバのサービス起動を行う必要が   ありますのでご注意ください。    ・NIASサーバ(シングル構成や、複数台構成時のマスターサーバ・スレーブサーバ)   [コントロールパネル] -> [管理ツール] -> [サービス]を開き以下の順番でサービスを   開始してください。   - Information Assessment System Migration Scheduler Service   - Information Assessment System Booster Service   - Information Assessment System Scheduler Service   - Information Assessment System Agent Service   - Apache Tomcat 9.0 Tomcat9    ・エージェントサーバ(NIAS_AgentSetup_V42.exeを実行したサーバはこちら)   [コントロールパネル] -> [管理ツール] -> [サービス]を開き以下のサービスを   開始してください。   - Information Assessment System Agent Service    ⑥NIASのシステム開始   複数台構成の場合や、自動でシステム開始とはならない設定に変更している場合は   以下の通り[運用ガイド]を参照してシステムの起動を実行してください。      ・[運用ガイド] - [8.1 システムの起動]を参照の上、    NIASをシステム開始させてください。      また、[設定]画面を開き、上部にあるシステム状態が「システム停止」のまま   変わらない場合も上記の通りシステムの起動を実施してください。  ⑦弊社サポートポータルに記載しておりました、   log4j脆弱性に対して環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を追加する対処を   実施されている場合は、本手順が完了した後は上記環境変数を削除していただけますようお願いいたします。   ※実施されていない場合は、本手順を実施する必要はございません     ■【NIAS】Apache Log4j(CVE-2021-44228)の脆弱性のNIASへの影響  https://www.support.nec.co.jp/View.aspx?NoClear=on&id=3010103716  ※URLを参照するためには、サポートポータルへのログインが必要になります ■参考  【最新版のlog4jの適用について】  本バッチでは最新版のlog4j2のjarをNIASに適用することも可能です。  その手順は以下の通りとなります。  なお、NIASの最新版(2.17.0より新しいバージョン)のlog4j2への対応状況は  サポートにお問い合わせください。  1)log4j2ダウンロード   以下URLから最新版のlog4jをダウンロードしてください。   https://logging.apache.org/log4j/2.x/download.html  2)jarファイルコピー   1)でダウンロードしたzipファイルを解凍し、以下の3種類のjarをコピーしてください。   コピー先は「nias_log4j_update.bat」と同階層の「jar」フォルダ内となります。   この時「jar」フォルダ内の古いjarは削除し、最新版のjarのみが格納されるようにしてください。   log4j-1.2-api-X.XX.X.jar   log4j-api-X.XX.X.jar   log4j-core-X.XX.X.jar   ※「X.XX.X」はバージョン番号  3)バッチの実行   ②以降の手順と同様となります。