log4jの脆弱性CVE-2021-44228 について
Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
脆弱性の詳細は、次のリンクをご参照ください。(外部リンク)
Apache Log4j の脆弱性対策について(CVE-2021-44228)
影響の範囲
本脆弱性に関して、現在サポート中の以下製品が影響を受ける可能性があります。
- Enterprise Server version 7.0~7.0 Patch Update 4
- Enterprise Test Server version 7.0 ~ 7.0 Patch Update 4
- Enterprise Analyzer version 7.0 以降
- Enterprise Developer (all variants) version 7.0 ~ 7.0 Patch Update 4
- Visual COBOL (all variants) version 7.0 ~ 7.0 Patch Update 4
- COBOL Server version 7.0 ~ 7.0 Patch Update 4
- DevPartner Studio Professional Edition 11
- DevPartner for Visual C++ BoundsChecker Suite 11
- DevPartner BoundsChecker Standalone 11
影響を受けるlog4jコンポーネントは、これらの製品のAutoPassコンポーネントに含まれています。
Micro Focus合同会社から提供している前述の製品ではAutopassライセンスは使用していないため、Autopass関連機能を削除することでlog4jの脆弱性に対応することができます。Micro Focusエンタープライズ社の製品を使用していない場合、次の手順で脆弱性があるモジュールが存在するか確認してください。
以下のコマンドを使用し、関連する log4j ファイルがシステムに存在するか検索します。
C:\>cd "C:\Program Files\Micro Focus\Licensing"
C:\Program Files\Micro Focus\Licensing>where /r . log4j-core2*.*
C:\>cd "C:\Program Files (x86)\Micro Focus\Licensing"
C:\Program Files (x86)\Micro Focus\Licensing>where /r . log4j-core2*.*
なお、上述記載の各バージョンより前のバージョンは影響を受けません。
解決策
脆弱性のあるファイルが存在した場合、AutoPassコンポーネントを削除することで、脆弱なlog4jライブラリを削除する効果があります。以下のAutoPassを削除するための方法をご参照ください。
回避方法
Windowsの場合
- OSのプログラムと機能などからインストールされたプログラムの一覧を表示し、Micro Focus License Manager を選択します。
- [変更] を選択します。
- AutoPass をクリックし、インストールしない を選択します。
- AutoPass が X 印になったことを確認し、[変更](または [インストール] )ボタンをクリックします。
Unixの場合
次の手順では、パッチが利用可能になるまで、影響を受けるAutoPassファイルをマシンから削除します。構成ファイルとライセンスファイルは残されています。
ルートインストール
- rootまたはスーパーユーザー権限を持つユーザーとしてログインします。
- AutoPassのインストール場所に移動します。
cd /opt/microfocus/licensing/autopass
- 現在実行中のAutoPassデーモンプロセスを停止します。
autoPassdaemon.sh stop
- 影響を受けるファイルを削除します。
rm log4j2.xml
rm lib/autopassj-daemon-*-jar-with-dependencies.jar
- MF CESデーモン設定を更新します。
- SafeNetのインストール場所に移動します。
cd /var/microfocuslicensing/bin
- MFCESDデーモンサービスを停止します。
stopmfcesd.sh
- 設定ファイル「ces.ini」を編集し、AutoPass行をコメントアウトします。
変更前
autopasshost=127.0.0.1
autopassport=50561
変更後
#autopasshost=127.0.0.1
#autopassport=50561
- MFCESDデーモンサービスを開始します。
startmfcesd.sh
ルート以外のインストール
警告:ルート以外のインストールでは、製品の機能を有効にするためにAutoPassライセンスが必要です。次の手順では、log4jパッチが利用可能になるまで、ライセンスと製品を無効にします。
- 製品とライセンスをインストールしたroot以外のユーザーとしてログインします。
- AutoPassのインストール場所に移動します。
cd $HOME/microfocus/licensing/autopass
- 現在実行中のAutoPassデーモンプロセスを停止します。
autoPassdaemon.sh stop
- 影響を受けるファイルを削除します。
rm log4j2.xml
rm lib/autopassj-daemon-*-jar-with-dependencies.jar