■ 概要
WebSAM vDC Automation Enterprise Edition(以下、vDCA EEと省略)およびWebSAM vDC Automation Standard Edition(以下、vDCA SEと省略)にて使用しているApache Log4jライブラリにおいて、セキュリティ上の脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105) が見つかりました。
各脆弱性の詳細については以下をご参照ください。
* CVE-2021-44228
* https://www.cve.org/CVERecord?id=CVE-2021-44228
* CVE-2021-45046
* https://www.cve.org/CVERecord?id=CVE-2021-45046
* CVE-2021-45105
* https://www.cve.org/CVERecord?id=CVE-2021-45105
本通知ではvDCA EE/vDCA SEのバージョンごとの影響と、その対処方法についてご案内いたします。
■ バージョンごとの影響
各バージョンごとの影響を以下に記載します。
* 共通
* 管理サーバにESMPRO/ServerManager Ver.6.37以降(Ver7.00含む)を使用している場合、影響を受けます。後述の「ESMPRO/ServerManagerにおける対処」を参照してください。
* vDCA EE 2.0~2.1
* 影響を受けません。対処する必要はありません。
* vDCA EE 2.2~6.0
* ポータルをご使用の場合、影響を受けます。後述の「ポータルにおける対応」を参照してください。
* 上記に該当しない場合、影響を受けません。対処する必要はありません。
* vDCA SE 4.0~6.0
* 影響を受けます。後述の「vDCA ポータルにおける対応」を参照してください。
* vDCA SE 7.0
* 影響を受けます。後述の「vDCA ポータルにおける対応」および「ESMPRO/ServerManagerにおける対処」を参照してください。
■ vDCA ポータルにおける対応
1. <Tomcatインストールパス>\webapps\portal\WEB-INF\lib\log4j-core-2.8.2.jar(vDCA EE 4.0またはvDCA SE 4.0の場合、log4j-core-2.4.1.jar)を任意のディレクトリにコピーしてください。
<Tomcatインストールパス>の既定値は「C:\Program Files (x86)\NEC\UMF\Operations\Tomcat」となります。
2. 1の手順でコピーしたファイルとは別にlog4j-core-2.8.2.jar(vDCA EE 4.0またはvDCA SE 4.0の場合、log4j-core-2.4.1.jar)のバックアップをインストールパス外の任意のディレクトリに格納してください。
3. 1の手順でコピーしたファイルの拡張子をjarからzipに変換してください。
4. 変換後、ファイルをダブルクリックして圧縮ファイル内を参照し、org\apache\logging\log4j\core\lookup\配下まで移動してください。
5. JndiLookup.class を右クリックして「削除」を選択してください。
6. 圧縮ファイルの中から抜けて、ファイルの拡張子をzipからjarに戻してください。
7. 出来上がったファイルを<Tomcatインストールパス>\webapps\portal\WEB-INF\lib\配下に上書きコピーしてください。
8. Tomcatのサービス(Apache Tomcat 8.5 ServiceGovernor)を再起動してください。
■ ESMPRO/ServerManagerにおける対応
下記のサイトにアクセスし、パッチ/修正モジュールを参照、対処を行ってください。
https://www.support.nec.co.jp/View.aspx?isIntra=0&id=9010110034