Apache Log4j2の任意のコード実行の脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)に関するSECUREMASTER製品への影響、対処策を記載いたします。
【2022年2月28日 17:00追記】
CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 に対処したLog4j2 2.17.1をEIM v8.2に適用する手順を追加しました。詳細は「EnterpriseIdentityManager(EIM)」の「EIMv8.2」をご参照ください。
【2022年1月31日 16:00追記】
CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 に対処したLog4j2 2.17.1をEIM v8.3、v8.5に適用する手順を追加しました。詳細は「EnterpriseIdentityManager(EIM)」の「EIMv8.3以降」をご参照ください。
【2021年12月21日 13:30追記】
12月20日にJPCERT/CCより新たな脆弱性 CVE-2021-45105 が通知されており、SECUREMASTER/EIMへの対処策を追加しました。
詳細は「EnterpriseIdentityManager(EIM)」の「EIMv8.2」「EIMv8.3以降」をご参照ください。
【2021年12月17日 17:00追記】
EIM Linux版への対処策として EIM_CVE-2021-45046への対処策_Linux版 を追加しました。
【2021年12月17日 12:00追記】
EIM Windows版への対処策として EIM_CVE-2021-45046への対処策_Windows版 を追加しました。
【2021年12月16日 08:30追記】
12月15日、JPCERT/CCのサイト https://www.jpcert.or.jp/at/2021/at210050.html にて、本脆弱性に関連して新たな脆弱性 CVE-2021-45046 が判明したとの通知があり、SECUREMASTER製品への影響及び対処を確認しております。
【2021年12月15日追記】
EIM_CVE-2021-44228への対処策.txt の EIM 8.2以降 Linux版 Tomcat設定変更手順 に誤りがありましたので訂正いたしました。
誤:JAVA_OPTS="-Xms128m -Xmx2048m" -Dlog4j2.formatMsgNoLookups=true
正:JAVA_OPTS="-Xms128m -Xmx2048m -Dlog4j2.formatMsgNoLookups=true"
* EnterpriseDirectoryServer(EDS)
本脆弱性の影響を受けません。
* EnterpriseIdentityManager(EIM)
- EIMv8.1以前
本脆弱性の影響を受けません。
- EIMv8.2
EIMv8.2に関しては本脆弱性の影響を受ける場合と受けない場合があります。
以下のディレクトリに存在する log4j-api-*.*.*.jar の * の部分の番号が、2.x.x の場合に影響を受けます。
[Windows版]
C:\Program Files\EIDM\WEBAP\TOMCAT\webapps\eidm\WEB-INF\lib
[Linux版]
/opt/nec/eidm/webap/webapps/eidm/WEB-INF/lib
影響を受ける場合は以下のいずれかの実施をお願いいたします。
方法1. Log4j2 2.17.1へのバージョンアップ
方法2. EIM_CVE-2021-45046への対処策
■方法1. Log4j2 2.17.1へのバージョンアップ
Apacheソフトウェア財団から Log4j2 2.17.1(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 対応済)がリリースされていますので EIMへの適用をお願いします。
手順の詳細は最後に記載しています関連情報の EIM_V8.2_Log4j_2.17.1_適用手順_Windows版、EIM_V8.2_Log4j_2.17.1_適用手順_Linux版 をご参照ください。
EIM_CVE-2021-44228への対処策、EIM_CVE-2021-45046への対処策を実施済みの環境にも適用いただけます。
また、バージョンアップを行うことによるEIMへの影響は機能面、性能面共に無いことを確認済みです。
■方法2. EIM_CVE-2021-45046への対処策
JPCERT/CCの通知(下記※)に回避策として
"JndiLookup.classをクラスパスから削除する回避策の実施"
が紹介されています。log4j-core-2.11.1.jar から JndiLookup.classJndiLookup.class を削除したファイルを配置することによりEIMへの対処を実施してください。
手順の詳細は最後に記載しています関連情報の EIM_CVE-2021-45046への対処策_Windows版、EIM_CVE-2021-45046への対処策_Linux版 をご参照ください。
EIM_CVE-2021-44228への対処策を実施済みの環境にも適用いただけます。
また、JndiLookup.classJndiLookup.class を削除することによるEIMへの影響は機能面、性能面共に無いことを確認済みです。
※ https://www.jpcert.or.jp/at/2021/at210050.html
方法2.に関する補足1
<EIM_CVE-2021-44228への対処策>(2021年12月13日にご案内した対処策)
JPCERT/CCの通知(下記※)に回避策として
"Log4jを実行するJava仮想マシンを起動時に 「log4j2.formatMsgNoLookups」というJVMフラグオプションを指定する"
が紹介されています。
EIMへの適用方法として最後に記載しています関連情報の EIM_CVE-2021-44228への対処策.txt を案内しておりましたが、対処が不十分であることが判明しましたので今後は上記 EIM_CVE-2021-45046への対処策 を実施してください。
※ https://www.jpcert.or.jp/at/2021/at210050.html
方法2.に関する補足2
<CVE-2021-45105への対処>(2021年12月21日にご案内した内容)
EIM製品が提供する機能・設定においては EIM_CVE-2021-45046への対処策 を実施いただければ CVE-2021-45105 の影響を受けません。
お客様にて作成された外部ルールにて EIM同梱のLog4j2を利用していて、かつ、影響のあるパターンレイアウト設定をされている場合は下記に従って影響を受けないような設定に変更をお願いします。
https://logging.apache.org/log4j/2.x/security.html
* CVE-2021-45105
- Log4j 2.x mitigation
In PatternLayout in the logging configuration, replace Context Lookups
like ${ctx:loginId} or $${ctx:loginId} with Thread Context Map patterns (%X, %mdc, or %MDC).
- EIMv8.3以降
本脆弱性の影響を受けますので以下のいずれかの実施をお願いいたします。
方法1. Log4j2 2.17.1へのバージョンアップ
方法2. EIM_CVE-2021-45046への対処策
■方法1. Log4j2 2.17.1へのバージョンアップ
Apacheソフトウェア財団から Log4j2 2.17.1(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105 対応済)がリリースされていますので EIMへの適用をお願いします。
手順の詳細は最後に記載しています関連情報の EIM_V8.3_Log4j_2.17.1_適用手順_Windows版、EIM_V8.3_Log4j_2.17.1_適用手順_Linux版 をご参照ください。
EIM_CVE-2021-44228への対処策、EIM_CVE-2021-45046への対処策を実施済みの環境にも適用いただけます。
また、バージョンアップを行うことによるEIMへの影響は機能面、性能面共に無いことを確認済みです。
■方法2. EIM_CVE-2021-45046への対処策
過去の対処策(EIM_CVE-2021-44228への対処策、EIM_CVE-2021-45046への対処策、CVE-2021-45105への対処策)については EIMv8.2 と同一です。
* EnterpriseAccessManager(EAM)
本脆弱性の影響を受けません。
* AccessControlServerオプション(ACS)
本脆弱性の影響を受けません。
* AccessControlPlugInオプション(ACPI)
本脆弱性の影響を受けません。
* フェデレーション(SAML, OpenID)
本脆弱性の影響を受けません。
* ELLiteオプション(ELLite)
本脆弱性の影響を受けません。
【更新情報】
* 2021年12月13日 12:00 EDS、EIMについて掲載
* 2021年12月13日 14:40 EAM、ACS、ACPI、フェデレーション、ELLiteについて掲載
* 2021年12月13日 19:20 EIMへの対処策について掲載
* 2021年12月15日 14:15 EIMへの対処策の訂正について掲載
* 2021年12月16日 8:30 新たな脆弱性 CVE-2021-45046 への対応状況について掲載
* 2021年12月17日 12:00 EIM Windows 版への CVE-2021-45046 対処策について掲載
* 2021年12月17日 17:00 EIM Linux 版への CVE-2021-45046 対処策について掲載
* 2021年12月21日 13:30 新たな脆弱性 CVE-2021-45105 への影響有無について掲載
* 2022年1月31日 16:00 EIM v8.3/8.5への Log4j2 2.17.1 の適用手順について掲載
* 2022年2月28日 17:00 EIM v8.2への Log4j2 2.17.1 の適用手順について掲載