概要

Apache Log4j ライブラリにて複数の脆弱性(CVE-2021-44228、CVE-2021-45046)が検出されましたので、対処方法をお知らせします。

※Apache Log4jの見解が更新され、以前の手順(設定ファイルに"{nolookups}"を追記する手順)では、 CVE-2021-45046の脆弱性が緩和できないことが判明しました。
対処方法をjarファイルからJndiLookup.classを削除する手順に変更しております。
以前の手順を実施済みの場合、変更後の手順で対処を再度実施してください。この場合、以前の手順で実施した内容を元に戻す必要はありません。

影響のある製品

• CONNEXIVE Platform V7.0

対処方法

1. 下記のコマンドを実行し、対象ファイルのバックアップを作成してください。
   

   # cp /opt/connexive/ops/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
   # cp /opt/connexive/webapps/m2m-dmr.war/WEB-INF/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
   # cp /opt/connexive/webapps/m2m-ops.war/WEB-INF/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
   # cp /opt/connexive/webapps/m2m-tfb-o.war/WEB-INF/lib/log4j-core-2.8.2.jar <任意のディレクトリ>

   
   
2. 下記のコマンドを実行し、log4j-core.2.8.2.jarファイルからJndiLookup.classを削除します。
   zipコマンドが存在しない場合はyumなどを使用しインストールしてください。
   

   # zip -q -d /opt/connexive/ops/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
   # zip -q -d /opt/connexive/webapps/m2m-dmr.war/WEB-INF/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
   # zip -q -d /opt/connexive/webapps/m2m-ops.war/WEB-INF/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
   # zip -q -d /opt/connexive/webapps/m2m-tfb-o.war/WEB-INF/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

   
   
3. WebOTXを再起動してください。
   

   # systemctl restart WOAgentSvc101

   ※外部製品でWebOTXの起動停止を制御している場合は、その手順に従ってWebOTXを再起動してください。


4. CONNEXIVE Platformの実行基盤として利用されているWebOTX Application Serverにおいても同様の問題を含んでおりますので以下を参照し、対応してください。
   https://www.support.nec.co.jp/View.aspx?id=3010103700

関連情報

本脆弱性問題の詳細は、次のURLを参照してください。

• CVE-2021-44228
  https://www.cve.org/CVERecord?id=CVE-2021-44228
• CVE-2021-45046
  https://www.cve.org/CVERecord?id=CVE-2021-45046
• Apache Log4j 公式サイト
  https://logging.apache.org/log4j/2.x/security.html