概要
Apache Log4j ライブラリにて複数の脆弱性(CVE-2021-44228、CVE-2021-45046)が検出されましたので、対処方法をお知らせします。
※Apache Log4jの見解が更新され、以前の手順(設定ファイルに"{nolookups}"を追記する手順)では、
CVE-2021-45046の脆弱性が緩和できないことが判明しました。
対処方法をjarファイルからJndiLookup.classを削除する手順に変更しております。
以前の手順を実施済みの場合、変更後の手順で対処を再度実施してください。この場合、以前の手順で実施した内容を元に戻す必要はありません。
影響のある製品
対処方法
- 下記のコマンドを実行し、対象ファイルのバックアップを作成してください。
# cp /opt/connexive/ops/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
# cp /opt/connexive/webapps/m2m-dmr.war/WEB-INF/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
# cp /opt/connexive/webapps/m2m-ops.war/WEB-INF/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
# cp /opt/connexive/webapps/m2m-tfb-o.war/WEB-INF/lib/log4j-core-2.8.2.jar <任意のディレクトリ>
- 下記のコマンドを実行し、log4j-core.2.8.2.jarファイルからJndiLookup.classを削除します。
zipコマンドが存在しない場合はyumなどを使用しインストールしてください。
# zip -q -d /opt/connexive/ops/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
# zip -q -d /opt/connexive/webapps/m2m-dmr.war/WEB-INF/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
# zip -q -d /opt/connexive/webapps/m2m-ops.war/WEB-INF/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
# zip -q -d /opt/connexive/webapps/m2m-tfb-o.war/WEB-INF/lib/log4j-core-2.8.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- WebOTXを再起動してください。
# systemctl restart WOAgentSvc101
※外部製品でWebOTXの起動停止を制御している場合は、その手順に従ってWebOTXを再起動してください。
- CONNEXIVE Platformの実行基盤として利用されているWebOTX Application Serverにおいても同様の問題を含んでおりますので以下を参照し、対応してください。
https://www.support.nec.co.jp/View.aspx?id=3010103700
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。