WebSAM SystemManager GのApache log4jにおける脆弱性(CVE-2021-44228)に関する影響と対策について説明します。
■SystemManager G 7.0をご利用のお客様
本脆弱性の対象となりませんので対処は不要です。
■SystemManager G 7.1~9.xをご利用のお客様
WebConsoleオプション機能を利用している場合のみ本脆弱性の対象となります。
該当する場合、以下の手順で回避してください。
〇Windows環境での回避手順
1. <Tomcatインストールパス>\webapps\portal\WEB-INF\lib\log4j-core-2.8.2.jar(Ver7.1では log4j-core-2.4.1.jar)を任意のディレクトリにコピーしてください。
<Tomcatインストールパス>の既定値は「C:\Program Files (x86)\NEC\UMF\Operations\Tomcat」となります。
2. 1の手順でコピーしたファイルとは別にlog4j-core-2.8.2.jar(Ver7.1では log4j-core-2.4.1.jar)のバックアップをインストールパス外の任意のディレクトリに格納してください。
3. 1の手順でコピーしたファイルの拡張子をjarからzipに変換してください。
4. 変換後、ファイルをダブルクリックして圧縮ファイル内を参照し、org\apache\logging\log4j\core\lookup\配下まで移動してください。
5. JndiLookup.class を右クリックして「削除」を選択してください。
6. 圧縮ファイルの中から抜けて、ファイルの拡張子をzipからjarに戻してください。
7. 出来上がったファイルを<Tomcatインストールパス>\webapps\portal\WEB-INF\lib\配下に上書きコピーしてください。
8. Tomcatのサービス(Apache Tomcat 8.5 ServiceGovernor)を再起動してください。
〇Linux環境での回避手順
1. cdコマンドでカレントディレクトリを<Tomcatインストールパス>/webapps/portal/WEB-INF/libに移動させてください。
<Tomcatインストールパス>の既定値は「/opt/UMF/Operations/Tomcat」となります。
2. 配下にあるlog4j-core-2.8.2.jar(Ver7.1では log4j-core-2.4.1.jar)のバックアップをインストールパス外の任意のディレクトリに格納してください。
3. 以下のコマンドを実行してください。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
4. 以下のコマンドを実行し、Tomcatのサービス (ServiceGovernor) を再起動してください。
- RHEL6の場合
service ServiceGovernor restart
- RHEL7/RHEL8の場合
systemctl restart ServiceGovernor
■SystemManager G 10.0~11.0をご利用のお客様
本脆弱性の対象となりますので以下の手順で回避してください。
〇Windows環境での回避手順
1. <Tomcatインストールパス>\webapps\portal\WEB-INF\lib\log4j-core-2.8.2.jar を任意のディレクトリにコピーしてください。
<Tomcatインストールパス>の既定値は「C:\Program Files\NEC\pf\opm\manager\Tomcat」となります。
2. 1の手順でコピーしたファイルとは別にlog4j-core-2.8.2.jarのバックアップをインストールパス外の任意のディレクトリに格納してください。
3. 1の手順でコピーしたファイルの拡張子をjarからzipに変換してください。
4. 変換後、ファイルをダブルクリックして圧縮ファイル内を参照し、org\apache\logging\log4j\core\lookup\配下まで移動してください。
5. JndiLookup.class を右クリックして「削除」を選択してください。
6. 圧縮ファイルの中から抜けて、ファイルの拡張子をzipからjarに戻してください。
7. 出来上がったファイルを<Tomcatインストールパス>\webapps\portal\WEB-INF\lib\配下に上書きコピーしてください。
8. Tomcatのサービス(Apache Tomcat 8.5 ServiceGovernor)を再起動してください。
〇Linux環境での回避手順
1. cdコマンドでカレントディレクトリを<Tomcatインストールパス>/webapps/portal/WEB-INF/libに移動させてください。
<Tomcatインストールパス>の既定値は「/opt/nec/pf/opm/manager/Tomcat」となります。
2. 配下にあるlog4j-core-2.8.2.jarのバックアップをインストールパス外の任意のディレクトリに格納してください。
3. 以下のコマンドを実行してください。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
4. 以下のコマンドを実行し、Tomcatのサービス (ServiceGovernor) を再起動してください。
systemctl restart ServiceGovernor