概要
Apache が最新の Log4j2 脆弱性(https://logging.apache.org/log4j/2.x/security.html)に対処するため、Log4j2 の最新パッチ(バージョン 2.17.0)をリリースしたことにお気づきかもしれない。
Apache Log4j2オープンソースライブラリは、AccessMatrixで使用されています。Log4j2の脆弱性の影響を受けるのは、AccessMatrixのバージョン5.6.5から5.7.1のみです。
i-Sprintでは、AccessMatrix AM Serverおよびその他のAM Webアプリケーション(CLP / OAuthProxy / USO Server / USO SSF / UAS TAP)バージョン5.6.5~5.7.1をご利用のお客様に対し、脆弱性を軽減するため、以下の情報をご確認頂くことを推奨いたします。
脆弱性情報
AccessMatrixバージョン5.6.5~5.7.1は、Apache Log4j2 2.11.2以降にバンドルされています。これらのバージョンは、最近のApache Log4j2のセキュリティ脆弱性の影響を受けます。バンドルされているApache Tomcatの展開では、影響を受けるバージョンはデフォルトでJava 8以上にバンドルされています。Apacheは、Log4j2の脆弱性問題に対処するためのパッチを提供しています:
- CVE-2021-44228 – AccessMatrix 5.6.5 から 5.7.1 が影響を受けます。Apache は、恒久的な緩和策として Log4j2 2.15.0 をリリースしており、AccessMatrix 5.6.5 から 5.7.1 は、この Log4j2 2.15.0 へのバンドルされた Log4j2 の直接パッチをサポートしています。
- CVE-2021-45046 – AccessMatrix 5.6.5 から 5.7.1 が影響を受けます。Apache は、恒久的な緩和策として Log4j2 2.15.0 をリリースしており、AccessMatrix 5.6.5 から 5.7.1 は、この Log4j2 2.15.0 へのバンドルされた Log4j2 の直接パッチをサポートしています。
- CVE-2021-45105 – AccessMatrix 5.xは、デフォルトでは影響を受けません。AccessMatrixバージョン5.xのロギング設定は、コンテキスト検索(${ctx:loginId}や$${ctx:loginId}のような)を含んでいません(注: 確認のために、am5/WEB-INF/classes/amlog4j2.properties の内容を参照することができます)。 プロパティのような); Apacheは、恒久的な緩和としてLog4j2 2.17.0をリリースし、AccessMatrix 5.xは、このLog4j2 2.17.0へのバンドルされたLog4j2の直接パッチをサポートします。
結論
- AccessMatrix 5.6.5から5.7.1(Java 8以降を使用)をご利用の場合、上記で公開されたセキュリティ脆弱性に対する恒久的な対策として、AccessMatrixにバンドルされているLog4j2を直接2.17.0にパッチ適用してください。
- AccessMatrix 5.6.5から5.7.1(Java 7以前を使用)をご利用の場合は、i-Sprintのグローバルサポートコンサルタントにご相談ください。
- AccessMatrix 5.6.4以前については、対処の必要はありません。
恒久的な対策
まず、現在のAccessMatrixのバージョンを確認し、上記のLog4j2の脆弱性の影響を受けるかどうかを判断する必要があります。そのためには、AccessMatrix管理コンソールにアクセスし、「ヘルプ」→「バージョン情報」メニューオプションをクリックします。AccessMatrixについて」ダイアログボックスに現在のAMサーバーのバージョンが表示されます。
リンクをクリックして、以下のパッチファイルをダウンロードしてください:
上記のリンクからダウンロードできない場合は、Apacheの公式サイトhttps://www.apache.org/dyn/closer.lua/logging/log4j/2.17.0/apache-log4j-2.17.0-bin.zip
パッチを適用したファイルをダウンロードしたら、以下の手順に従って3つのJARにパッチを適用してください:
- 高可用性(HA)アーキテクチャで稼動している AM Server の各サービスに対して、順番に以下を適用してください。
- AM Server サービスを停止します。
- am5/WEB-INF/libから以下の3つのファイルを削除する(バックアップのため、現在のam5 web appフォルダ以外のフォルダに移動する必要があります):
- oss-org-apache-log4j-core-2.12.0.jar or log4j-core-2.12.0.jar
- oss-org-apache-log4j-api-2.12.0.jar or log4j-api-2.12.0.jar
- oss-org-apache-log4j-1.2-api-2.12.0.jar or log4j-1.2-api-2.12.0.jar
- ダウンロードしたパッチファイルから、以下の3つのファイルをam5/WEB-INF/libにコピーします:
- oss-org-apache-log4j-core-2.17.0.jar
- oss-org-apache-log4j-api-2.17.0.jar
- oss-org-apache-log4j-1.2-api-2.17.0.jar
注:Apacheの公式ウェブサイトからパッチをダウンロードした場合は、上記の3つのファイルの名前を適宜変更する必要があります。
- am5’以外のWebアプリがある場合は、各Webアプリの/WEB-INF/libフォルダ内のJARファイル(ステップ3および4を参照)を置き換えてください。
- 以前のパッチ適用作業で、JVMパラメータ「-Dlog4j2.noFormatMsgLookup=true」を適用した場合は、そのJVMパラメータを削除してください。
- AM Serverサービスを開始します。
パッチを適用したファイルのダウンロードや上記の手順で問題が発生した場合は、i-Sprintのサポート(support@i-sprint.com)までお問い合わせください。