<概要>
Apache Log4j ライブラリにリモートコード実行が可能となる脆弱性(CVE-2021-44228)が発見されました。
また、同ライブラリにサービス運用妨害攻撃の脆弱性(CVE-2021-45046 および CVE-2021-45105)が発見されました。
本 FAQ では、これらの脆弱性に関する intra-mart 製品への影響について記載します。
<影響のある製品>
・IM-ContentsSearch for Accel Platform
2021 Spring 以降をご利用のお客様で、プロダクトファイルダウンロードサイトより入手可能な Apache Solr を利用している場合に影響があります。
影響を受ける Apache Solr には、脆弱性が確認されている log4j-core-2.13.2.jar が内包されています。
なお、Apache Solr において CVE-2021-44228 の影響は確認されていますが、CVE-2021-45046 および CVE-2021-45105 の影響は確認されていません。
https://solr.apache.org/security.html
・IM-SecureSignOn for Accel Platform
2019 Winter 以降をご利用のお客様で、プロダクトファイルダウンロードサイトより入手可能な以下のいずれかを利用している場合に影響があります。
・IM-SecureSignOn-8.0.4.zip
・IM-SecureSignOn-8.0.5.zip
影響を受けるバージョンの VANADIS SecureJoin SSO Login Server にて Apache Log4j が利用されています。
なお、VANADIS SecureJoin SSO Login Server につきましては現在開発元での調査を行っておりますが、標準の設定での CVE-2021-45046 および CVE-2021-45105 の影響は確認されていません。
■対応方法
・IM-ContentsSearch for Accel Platform
2021年12月24日より、脆弱性の影響を受けない Apache Solr を提供しています。
https://issue.intra-mart.jp/issues/34041
脆弱性の影響を受ける Apache Solr をご利用の場合は、プロダクトファイルダウンロードより solr.zip をダウンロードしていただき、以下の手順で移行してください。
https://document.intra-mart.jp/library/iap/public/im_contents_search/solr_administrator_guide/texts/operation/index.html#migration
・IM-SecureSignOn for Accel Platform
VANADIS 製品の製造元より正式な周知文書が配布されています。
周知文書に記載された対応策を記載します。
VANADIS SecureJoin SSO Login Server に含まれる Apache Log4j のバージョンアップにより脆弱性への対応を行ってください。
1. 資材の用意
2. 入れ替え対象の資材の選別
3. 資材の差し替え
<1. 資材の用意>
以下 Apache Log4j 公式サイトより、脆弱性対策済みのバージョン 2.17.0 をダウンロードしてください。
URL:https://logging.apache.org/log4j/2.x/download.html
取得資材:
Apache Log4j 2 binary (tar.gz) |apache-log4j-2.17.0-bin.tar.gz
Apache Log4j 2 binary (zip) |apache-log4j-2.17.0-bin.zip
※tar.gzとzipはご利用の環境に応じてどちらかをダウンロードしてください。
<2. 入れ替え対象の資材の選別>
手順 1. で取得した資材からアップデートに必要な以下の資材を用意します。
・log4j-web-2.17.0.jar
・log4j-api-2.17.0.jar
・log4j-core-2.17.0.jar
・log4j-jcl-2.17.0.jar
<3. 資材の差し替え>
対象の VANADIS SecureJoin SSO Login Server の以下の差し替え対象ファイルを別ディレクトリへ退避後、
手順 2. で取得したファイルを差し替え対象ファイルのパスへ格納してください。
差し替え対象ファイルのパス:{インストールディレクトリ※}/WEB-INF/lib
※ SecureJoin SSO Serverの例:/usr/local/tomcat/webapps/sso
差し替え対象ファイル名:
・log4j-web-2.xx.x.jar
・log4j-api-2.xx.x.jar
・log4j-core-2.xx.x.jar
・log4j-jcl-2.xx.x.jar
※ファイル名のバージョン表記の末尾「x」部分は製品によって異なります。
<影響のない製品-1>
下記の製品では、log4j 2.xおよびlog4j 1.xは利用していないことを確認しています。
また、標準のログ出力機能としてlog4j-over-slf4j-xxxx.jarのAPIを使ってログを出力しています。
log4j-over-slf4j-xxxx.jar は log4jのインターフェースをもっていますが、slf4jへ処理を変更する別の実装となっているため、今回の脆弱性は該当しません。
intra-mart Accel Platform
intra-mart Accel Collaboration(電子会議室やアンケートを含む)
intra-mart Accel Documents
intra-mart Accel Documents Secure Download Option
intra-mart Accel GroupMail
intra-mart DPS シリーズ
IM-RPA(im_winactor_agentを含む)
IM-BPM for Accel Platform
IM-ERP Real Connect for Accel Platform
IM-BloomMaker for Accel Platform
Accel Studio
IM-FormaDesigner for Accel Platform
IM-BIS for Accel Platform
IM-Spreadsheet for Accel Platform
intra-mart WebPlatform / AppFramework
intra-mart BaseModule
intra-mart e Builder for Accel Platform
IM-Juggling
ミドルウェア(Product File Downloadサイト経由での配布物)
Caucho Resin
intra-mart Accel Archiver
intra-mart Accel Kaiden! 経費旅費
intra-mart Accel Kaiden! 勤務管理
intra-mart Accel Kaiden! マイナンバー
IM-X-Server
IM-X Server DB Bridge
IM-X Server Management Service
IM-PDFAutoConverter for Accel Platform
IM-PDFDesigner for Accel Platform
IM-PDFDesigner FullPack for Accel Platform
IM-PDFDirectPrint for Accel Platform
IM-PDFTimeStamper for Accel Platform
Accel-Mart Quick/Plus
<影響のない製品-2>
下記の製品では、log4j 1.xを利用していますが脆弱性の影響がない事を確認しています。
IM-PDFCoordinator for Accel Platform
Apache Cassandra 1.1.12
<周辺ミドルウェア製品について>
Webサーバ、データベースなどお客様が導入されたミドルウェア製品については、各ベンダにお問合せをお願いします。
FAQID:1133