Software Delivery & Testing カスタマー ケア » よくある質問と回答 >

マイクロフォーカスライセンス管理システム技術情報(FAQ)


log4jの脆弱性CVE-2021-44228 について

Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
 
脆弱性の詳細は、次のリンクをご参照ください。(外部リンク)
Apache Log4j の脆弱性対策について(CVE-2021-44228)


影響の範囲

本脆弱性に関して、現在サポート中の以下製品が影響を受ける可能性があります。

  • Enterprise Server version 7.0~7.0 Patch Update 4
  • Enterprise Test Server version 7.0 ~ 7.0 Patch Update 4
  • Enterprise Analyzer version 7.0 以降
  • Enterprise Developer (all variants) version 7.0 ~ 7.0 Patch Update 4
  • Visual COBOL (all variants) version 7.0 ~ 7.0 Patch Update 4
  • COBOL Server version 7.0 ~ 7.0 Patch Update 4
  • DevPartner Studio Professional Edition 11
  • DevPartner for Visual C++ BoundsChecker Suite 11
  • DevPartner BoundsChecker Standalone 11

影響を受けるlog4jコンポーネントは、これらの製品のAutoPassコンポーネントに含まれています。

Micro Focus合同会社から提供している前述の製品ではAutopassライセンスは使用していないため、Autopass関連機能を削除することでlog4jの脆弱性に対応することができます。Micro Focusエンタープライズ社の製品を使用していない場合、次の手順で脆弱性があるモジュールが存在するか確認してください。

以下のコマンドを使用し、関連する log4j ファイルがシステムに存在するか検索します。

    C:\>cd "C:\Program Files\Micro Focus\Licensing"
    C:\Program Files\Micro Focus\Licensing>where /r . log4j-core2*.*
    C:\>cd "C:\Program Files (x86)\Micro Focus\Licensing"
    C:\Program Files (x86)\Micro Focus\Licensing>where /r . log4j-core2*.*

なお、上述記載の各バージョンより前のバージョンは影響を受けません。


解決策

脆弱性のあるファイルが存在した場合、AutoPassコンポーネントを削除することで、脆弱なlog4jライブラリを削除する効果があります。以下のAutoPassを削除するための方法をご参照ください。


回避方法


Windowsの場合

  1. OSのプログラムと機能などからインストールされたプログラムの一覧を表示し、Micro Focus License Manager を選択します。
  2. [変更] を選択します。
  3. AutoPass をクリックし、インストールしない を選択します。
    3.png
  4. AutoPass が X 印になったことを確認し、[変更](または [インストール] )ボタンをクリックします。
    4.png

Unixの場合

次の手順では、パッチが利用可能になるまで、影響を受けるAutoPassファイルをマシンから削除します。構成ファイルとライセンスファイルは残されています。

ルートインストール

  1. rootまたはスーパーユーザー権限を持つユーザーとしてログインします。
  2. AutoPassのインストール場所に移動します。 
        cd /opt/microfocus/licensing/autopass
  3. 現在実行中のAutoPassデーモンプロセスを停止します。 
         autoPassdaemon.sh stop
  4. 影響を受けるファイルを削除します。 
        rm log4j2.xml
    rm lib/autopassj-daemon-*-jar-with-dependencies.jar
  5. MF CESデーモン設定を更新します。
    1. SafeNetのインストール場所に移動します。 
         cd /var/microfocuslicensing/bin
    2. MFCESDデーモンサービスを停止します。 
         stopmfcesd.sh
    3. 設定ファイル「ces.ini」を編集し、AutoPass行をコメントアウトします。
      変更前 
         autopasshost=127.0.0.1
   autopassport=50561
      変更後 
         #autopasshost=127.0.0.1
   #autopassport=50561
  6. MFCESDデーモンサービスを開始します。 
        startmfcesd.sh

ルート以外のインストール 警告:ルート以外のインストールでは、製品の機能を有効にするためにAutoPassライセンスが必要です。次の手順では、log4jパッチが利用可能になるまで、ライセンスと製品を無効にします。

  1. 製品とライセンスをインストールしたroot以外のユーザーとしてログインします。
  2. AutoPassのインストール場所に移動します。 
        cd $HOME/microfocus/licensing/autopass
  3. 現在実行中のAutoPassデーモンプロセスを停止します。 
        autoPassdaemon.sh stop
  4. 影響を受けるファイルを削除します。 
        rm log4j2.xml
    rm lib/autopassj-daemon-*-jar-with-dependencies.jar