■■■ ■■ SecureWare/Credential Lifecycle Manager V1.1.1 ■ log4j v2.x 脆弱性対応について ■ 2021.12.17 NEC サイバーセキュリティ戦略本部 ==1. 本資料について ===================================================================== 本資料は、 SecureWare/Credential Lifecycle Manager V1.1.1 (以降、CLMと呼称) についてのApache log4jにおける任意のコード実行の脆弱性(CVE-2021-44228) への対応方法を記載した資料となります。 脆弱性の詳細については、 The Apache Software Foundationの情報を ご確認ください。 Apache Log4j Security Vulnerabilities https://logging.apache.org/log4j/2.x/security.html ==2. 同梱物 ============================================================================ 本リリースは、以下のファイルから構成されます。 ・SecureWareCLM_log4j脆弱性恒久対処策適用手順.txt :log4j脆弱性対応手順書(本書) ・log4j-2.16.0.jar.forCLM.tar.gz :log4j 2.16.0 jar sha256sum値は以下の通りです。 ・sha256sum値 e1a6d1fba1d56dae56c381db11970009699cd6663c5f926f5873afeefd53b4a8 log4j-2.16.0.jar.forCLM.tar.gz ※ウィルスチェック実施済み ウィルスチェック使用ツール:Windows Defender 4.18.1911.3 エンジンバージョン :1.1.18800.4 ウィルス対策バージョン :1.353.263.0 スパイウェア対策バージョン:1.353.263.0 更新日 :2021/12/15 ==3. 対応方法 ============================================================================ 本方法は、CLMが使用する log4jを 2.16.0 にバージョンアップするための手順となります。 [注意事項] ・以下の手順は、rootユーザで実施してください。 ・本作業はWebAPIサーバにて実施してください。 [手順] 1) Tomcatを停止します。 # /usr/local/tomcat/bin/shutdown.sh (Tomcatをサービス化していない場合) または # systemctl stop tomcat8-clm (Tomcatをサービス化している場合) 2) WebAPIサーバ上のlog4j用Jarファイルを更新します。 1. Tomcatに配置しているlog4j-*-2.10.0.jarを退避します。 (以下実行イメージでは、/tmp/backup/に退避しています。) ※ バックアップファイルは、拡張子を .jar 以外に してください。 # cd /usr/local/tomcat/webapps/SWCLM/WEB-INF/lib # mv log4j-1.2-api-2.10.0.jar /tmp/backup/log4j-1.2-api-2.10.0.jar.YYYYMMDD # mv log4j-api-2.10.0.jar /tmp/backup/log4j-api-2.10.0.jar.YYYYMMDD # mv log4j-core-2.10.0.jar /tmp/backup/log4j-core-2.10.0.jar.YYYYMMDD # mv log4j-web-2.10.0.jar /tmp/backup/log4j-web-2.10.0.jar.YYYYMMDD 2. 同梱物の tarファイルを作業ディレクトリに置き、/usr/local 配下へ配置します。 (以下実行イメージでは、作業ディレクトリを/tmp/release/としています。) # cd /tmp/release # tar zxvf log4j-2.16.0.jar.forCLM.tar.gz # cd /usr/local/tomcat/webapps/SWCLM/WEB-INF/lib # cp -p /tmp/release/log4j-1.2-api-2.16.0.jar . # cp -p /tmp/release/log4j-api-2.16.0.jar . # cp -p /tmp/release/log4j-core-2.16.0.jar . # cp -p /tmp/release/log4j-web-2.16.0.jar . 3) Tomcatを起動します。 # /usr/local/tomcat/bin/startup.sh (Tomcatをサービス化していない場合) または # systemctl start tomcat8-clm (Tomcatをサービス化している場合) ==4.注意事項・制限事項 ================================================================ [注意事項] ・なし [制限事項] ・なし ==5.備考 ============================================================================== なし。 - 以上 -