Apache Log4j ライブラリに RCE(リモートコード実行)が可能となる脆弱性および、サービス運用妨害攻撃の脆弱性が発見されました。intra-mart 製品の影響について教えてください。

 
<概要>

Apache Log4j ライブラリにリモートコード実行が可能となる脆弱性(CVE-2021-44228)が発見されました。
また、同ライブラリにサービス運用妨害攻撃の脆弱性(CVE-2021-45046 および CVE-2021-45105)が発見されました。
本 FAQ では、これらの脆弱性に関する intra-mart 製品への影響について記載します。


<影響のある製品>
・IM-ContentsSearch for Accel Platform
  2021 Spring 以降をご利用のお客様で、プロダクトファイルダウンロードサイトより入手可能な Apache Solr を利用している場合に影響があります。
    
  影響を受ける Apache Solr には、脆弱性が確認されている log4j-core-2.13.2.jar が内包されています。
  なお、Apache Solr において CVE-2021-44228 の影響は確認されていますが、CVE-2021-45046 および CVE-2021-45105 の影響は確認されていません。
  https://solr.apache.org/security.html

・IM-SecureSignOn for Accel Platform
  2019 Winter 以降をご利用のお客様で、プロダクトファイルダウンロードサイトより入手可能な以下のいずれかを利用している場合に影響があります。
  ・IM-SecureSignOn-8.0.4.zip
  ・IM-SecureSignOn-8.0.5.zip

  影響を受けるバージョンの VANADIS SecureJoin SSO Login Server にて Apache Log4j が利用されています。
  なお、VANADIS SecureJoin SSO Login Server につきましては現在開発元での調査を行っておりますが、標準の設定での CVE-2021-45046 および CVE-2021-45105 の影響は確認されていません。

 ■対応方法

  ・IM-ContentsSearch for Accel Platform
    2021年12月24日より、脆弱性の影響を受けない Apache Solr を提供しています。
     https://issue.intra-mart.jp/issues/34041

    脆弱性の影響を受ける Apache Solr をご利用の場合は、プロダクトファイルダウンロードより solr.zip をダウンロードしていただき、以下の手順で移行してください。
     https://document.intra-mart.jp/library/iap/public/im_contents_search/solr_administrator_guide/texts/operation/index.html#migration


  ・IM-SecureSignOn for Accel Platform

    VANADIS 製品の製造元より正式な周知文書が配布されています。
    周知文書に記載された対応策を記載します。

    VANADIS SecureJoin SSO Login Server に含まれる Apache Log4j のバージョンアップにより脆弱性への対応を行ってください。
    1. 資材の用意
    2. 入れ替え対象の資材の選別
    3. 資材の差し替え

    <1. 資材の用意>
    以下 Apache Log4j 公式サイトより、脆弱性対策済みのバージョン 2.17.0 をダウンロードしてください。
     URL:https://logging.apache.org/log4j/2.x/download.html

    取得資材:
     Apache Log4j 2 binary (tar.gz)  |apache-log4j-2.17.0-bin.tar.gz
     Apache Log4j 2 binary (zip)     |apache-log4j-2.17.0-bin.zip
     ※tar.gzとzipはご利用の環境に応じてどちらかをダウンロードしてください。


    <2. 入れ替え対象の資材の選別>
    手順 1. で取得した資材からアップデートに必要な以下の資材を用意します。
    ・log4j-web-2.17.0.jar
    ・log4j-api-2.17.0.jar
    ・log4j-core-2.17.0.jar
    ・log4j-jcl-2.17.0.jar


    <3. 資材の差し替え>
    対象の VANADIS SecureJoin SSO Login Server の以下の差し替え対象ファイルを別ディレクトリへ退避後、
    手順 2. で取得したファイルを差し替え対象ファイルのパスへ格納してください。
    
    差し替え対象ファイルのパス:{インストールディレクトリ※}/WEB-INF/lib
    ※ SecureJoin SSO Serverの例:/usr/local/tomcat/webapps/sso
    
    差し替え対象ファイル名:
    ・log4j-web-2.xx.x.jar
    ・log4j-api-2.xx.x.jar
    ・log4j-core-2.xx.x.jar
    ・log4j-jcl-2.xx.x.jar
    ※ファイル名のバージョン表記の末尾「x」部分は製品によって異なります。



<影響のない製品-1>

下記の製品では、log4j 2.xおよびlog4j 1.xは利用していないことを確認しています。

また、標準のログ出力機能としてlog4j-over-slf4j-xxxx.jarのAPIを使ってログを出力しています。
log4j-over-slf4j-xxxx.jar は log4jのインターフェースをもっていますが、slf4jへ処理を変更する別の実装となっているため、今回の脆弱性は該当しません。

 intra-mart Accel Platform
 intra-mart Accel Collaboration(電子会議室やアンケートを含む)
 intra-mart Accel Documents
 intra-mart Accel Documents Secure Download Option
 intra-mart Accel GroupMail
 intra-mart DPS シリーズ
 IM-RPA(im_winactor_agentを含む)
 IM-BPM for Accel Platform
 IM-ERP Real Connect for Accel Platform
 IM-BloomMaker for Accel Platform
 Accel Studio
 IM-FormaDesigner for Accel Platform
 IM-BIS for Accel Platform
 IM-Spreadsheet for Accel Platform
 intra-mart WebPlatform / AppFramework
 intra-mart BaseModule
 intra-mart e Builder for Accel Platform
 IM-Juggling
 ミドルウェア(Product File Downloadサイト経由での配布物)
 Caucho Resin
 intra-mart Accel Archiver
 intra-mart Accel Kaiden! 経費旅費
 intra-mart Accel Kaiden! 勤務管理
 intra-mart Accel Kaiden! マイナンバー
 IM-X-Server
 IM-X Server DB Bridge
 IM-X Server Management Service
 IM-PDFAutoConverter for Accel Platform
 IM-PDFDesigner for Accel Platform
 IM-PDFDesigner FullPack for Accel Platform
 IM-PDFDirectPrint for Accel Platform
 IM-PDFTimeStamper for Accel Platform
 Accel-Mart Quick/Plus

 

<影響のない製品-2>

下記の製品では、log4j 1.xを利用していますが脆弱性の影響がない事を確認しています。

 IM-PDFCoordinator for Accel Platform
 Apache Cassandra 1.1.12

 

<周辺ミドルウェア製品について>

Webサーバ、データベースなどお客様が導入されたミドルウェア製品については、各ベンダにお問合せをお願いします。

FAQID:1133
この記事は役に立ちましたか?
5人中5人がこの記事が役に立ったと言っています
Powered by Zendesk