Serena製品技術情報（FAQ）

log4jの脆弱性CVE-2021-44228について

Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
　
脆弱性の詳細は、次のリンクをご参照ください。（外部リンク）
Apache Log4j の脆弱性対策について(CVE-2021-44228)

影響の範囲

本脆弱性は Dimensions CM 14.5.x 以降に影響があります。
それ以前のバージョンには影響ありません。

回避方法

Windowsの場合

• 1.以下のWebページからコマンドライン版のZipを入手し、パスを通しておきます。
  http://gnuwin32.sourceforge.net/packages/zip.htm

• 2.管理者権限でコマンドプロンプトを起動し、以下のフォルダに移動します。

   C:\Program Files\Micro Focus\common\tomcat\8.5\webapps\pulse\WEB-INF\lib

• 3.以下のコマンドを実行し、log4jのjarファイル中から、脆弱性のあるクラスファイルを削除します。
  なお、jarファイルのバージョン番号が異なる場合がありますので、適宜変更してください。

   zip -q -d log4j-core-2.13.3.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

• 4.以下のコマンドを実行し、脆弱性があるクラスjndilookupが削除されたことを確認します。
  削除されている場合、このコマンドを実行しても結果は何も表示されません。

   unzip -vl log4j-core-2.13.3.jar | findstr -i jndilookup

• 5.OSを再起動します。

Linux/UNIX の場合

• 1.ターミナルウィンドウを起動し、以下のディレクトリに移動します。

   ＜Dimensions CMをインストールしたパス＞/common/tomcat/8.5/webapps/pulse/WEB-INF/lib 

• 2.以下のコマンドを実行し、log4jのjarファイル中から、脆弱性のあるクラスファイルを削除します。
  なお、jarファイルのバージョン番号が異なる場合がありますので、適宜変更してください。

   zip -q -d log4j-core-2.13.3.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

• 3.以下のコマンドを実行し、脆弱性があるクラスjndilookupが削除されたことを確認します。
  削除されている場合、このコマンドを実行しても結果は何も表示されません。

   unzip -vl log4j-core-2.13.3.jar | grep -i jndilookup

• 4.OSを再起動します。