ページの先頭です。
ここから本文です。

お知らせ

Apache Log4j2の脆弱性(CVE-2021-44228)に関するSECUREMASTER製品への影響

Apache Log4j2の任意のコード実行の脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)に関するSECUREMASTER製品への影響は以下の通りです。

【2021年12月21日 13:30追記】
  12月20日にJPCERT/CCより新たな脆弱性 CVE-2021-45105 が通知されておりますが、SECUREMASTER/EIMについて12月17日に提供済のJndiLookup.classを削除したjarファイル(EIM_patch_Win_V83_211216_rel.zip, eidm_patch_RHEL_8.3_211217.zip)を適用頂ければ、EIM製品が提供する機能・設定において CVE-2021-45105 の影響を受けません。

  なお、お客様にて作成された外部ルールにて EIM同梱の Log4j2を利用していて、かつ、影響のあるパターンレイアウト設定をされている場合は、下記に従って影響を受けないような設定に変更をお願いします。

  https://logging.apache.org/log4j/2.x/security.html
   * CVE-2021-45105
    - Log4j 2.x mitigation
  In PatternLayout in the logging configuration, replace Context Lookups 
  like ${ctx:loginId} or $${ctx:loginId} with Thread Context Map patterns (%X, %mdc, or %MDC).

【2021年12月17日 17:00追記】
  EIM Linux版への対処策として EIM_CVE-2021-45046への対処策_Linux版 を追加しました。

【2021年12月17日 12:00追記】
  EIM Windows版への対処策として EIM_CVE-2021-45046への対処策_Windows版 を追加しました。
  EIM Linux版につきまして引き続き影響及び対処を確認しております。

【2021年12月16日 08:30追記】
  12月15日、JPCERT/CCのサイト https://www.jpcert.or.jp/at/2021/at210050.html にて、本脆弱性に関連して新たな脆弱性 CVE-2021-45046 が判明したとの通知が出ております。
  合わせて同サイトにて、以下のように通知されております。

   > 更新: 2021年12月15日追記
   > The Apache Software Foundationより、一部の回避策は、特定の手法を用いた攻撃を回避するには不十分であることが判明したと明らかにし、
   > 有効な回避策として、JndiLookup.classをクラスパスから削除する回避策の実施を呼びかけています。

  現在、上記についてSECUREMASTER製品への影響及び対処を確認しております。

【2021年12月15日追記】
  EIM_CVE-2021-44228への対処策.txt の EIM 8.2以降 Linux版 Tomcat設定変更手順 に誤りがありましたので訂正いたしました。
    誤:JAVA_OPTS="-Xms128m -Xmx2048m" -Dlog4j2.formatMsgNoLookups=true
    正:JAVA_OPTS="-Xms128m -Xmx2048m -Dlog4j2.formatMsgNoLookups=true"

* EnterpriseDirectoryServer(EDS)
  本脆弱性の影響を受けません。

* EnterpriseIdentityManager(EIM)
- EIMv8.1以前
  本脆弱性の影響を受けません。

- EIMv8.2以降
  本脆弱性の影響を受けます。
  JPCERT/CCの通知(下記※)に回避策として
  "Log4jを実行するJava仮想マシンを起動時に 「log4j2.formatMsgNoLookups」というJVMフラグオプションを指定する"
  が紹介されています。
  EIMへの適用方法として下記の関連情報の EIM_CVE-2021-44228への対処策.txt を案内しておりましたが、対処が不十分であることが判明しましたので今後は下記の回避策を実施してください。
  なお、このオプション指定を行うことによるEIMへの影響は機能面、性能面共に無いことを確認済みです。

  同通知(下記※)にて上記での対処では不十分であり、別の回避策として
  "JndiLookup.classをクラスパスから削除する回避策の実施"
  が紹介されています。log4j-core-2.11.1.jar から JndiLookup.classJndiLookup.class を削除したファイルを配置することによりEIMへの対処を実施してください。
  手順の詳細は下記の関連情報の EIM_CVE-2021-45046への対処策_Windows版、EIM_CVE-2021-45046への対処策_Linux版 をご参照ください。
  EIM_CVE-2021-44228への対処策.txt 実施済みの環境にも適用いただけます。
  なお、 JndiLookup.classJndiLookup.class を削除することによるEIMへの影響は機能面、性能面共に無いことを確認済みです。
  
  ※ https://www.jpcert.or.jp/at/2021/at210050.html

  なお、EIMv8.2に関しては本脆弱性の影響を受ける場合と受けない場合があります。
  以下のディレクトリに存在する log4j-api-*.*.*.jar の * の部分の番号が、2.x.x の場合に影響を受けます。

  [Windows版]
    C:\Program Files\EIDM\WEBAP\TOMCAT\webapps\eidm\WEB-INF\lib
  [Linux版]
    /opt/nec/eidm/webap/webapps/eidm/WEB-INF/lib


* EnterpriseAccessManager(EAM)
  本脆弱性の影響を受けません。
  
  
* AccessControlServerオプション(ACS)
  本脆弱性の影響を受けません。


* AccessControlPlugInオプション(ACPI)
  本脆弱性の影響を受けません。


* フェデレーション(SAML, OpenID)
  本脆弱性の影響を受けません。


* ELLiteオプション(ELLite)
  本脆弱性の影響を受けません。


【更新情報】
* 2021年12月13日 12:00 EDS、EIMについて掲載
* 2021年12月13日 14:40 EAM、ACS、ACPI、フェデレーション、ELLiteについて掲載
* 2021年12月13日 19:20 EIMへの対処策について掲載
* 2021年12月15日 14:15 EIMへの対処策の訂正について掲載
* 2021年12月16日  8:30 新たな脆弱性 CVE-2021-45046 への対応状況について掲載
* 2021年12月17日 12:00 EIM Windows 版への CVE-2021-45046 対処策について掲載
* 2021年12月17日 17:00 EIM Linux 版への CVE-2021-45046 対処策について掲載
* 2021年12月21日 13:30 新たな脆弱性 CVE-2021-45105 への影響有無について掲載

製品名カテゴリ

WebSAM SECUREMASTER

関連情報

  • コンテンツID: 3010103703
  • 公開日: 2021年12月13日
  • 最終更新日:2021年12月21日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。