Serena製品技術情報(FAQ)


log4jの脆弱性CVE-2021-44228 について

Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
 
脆弱性の詳細は、次のリンクをご参照ください。(外部リンク)
Apache Log4j の脆弱性対策について(CVE-2021-44228)


影響の範囲

本脆弱性に関して、現在、サポート対象になっているPVCS Version Managerの次のバージョンが影響を受けます。

PVCS Version Manager 8.6.0 PVCS Version Manager 8.6.1 PVCS Version Manager 8.6.2 PVCS Version Manager 8.6.3

※これ以前のバージョンについては、Extended Support状態であるため影響に関する調査は行われていません。 また、新規の調査は行われません。 なお、なお、PVCS Version Manager Web Application Server で使用されている log4j-1.2.17.jar などの log4j ライブラリのバージョン 1.x.x は、この脆弱性の対象ではありません。


回避方法

この脆弱性を回避するには、脆弱性のあるライブラリを、log4j2.16.0 以降に置き換えてください。


共通の事前準備

次のリンクから、新しいlog4jライブラリをダウンロードします。

libcerttool


Windowsの場合

  1. 動作中のPVCSのファイルサーバー、クライアントを停止します。
     
  2. ファイルを置換します。
    エクスプローラーなどで %PVCS_HOME%\common\libcerttool (デフォルトでは C:Program Files\Micro Focus\vm\common\libcerttool)を開き、log4j-api-2.3.jar と log4j-core-2.3.jarの2ファイル削除します
    ダウンロードした zip ファイルを展開し、中に含まれている log4j-api-2.15.0.jarとlog4j-core-2.15.0.jarファイルをこのディレクトリにコピーします
     
  1. 使用するバッチファイルを変更します。
    メモ帳などで %PVCS_HOME%\common\bin\win64\certtool.batを開き、次の2行を変更します。
     
    変更前:
    set CLASSPATH=%CLASSPATH%;%PVCS_HOME%\common\libcerttool\log4j-api-2.3.jar;
    set CLASSPATH=%CLASSPATH%;%PVCS_HOME%\common\libcerttool\log4j-core-2.3.jar;
     
    変更後:
    set CLASSPATH=%CLASSPATH%;%PVCS_HOME%\common\libcerttool\log4j-api-2.15.0.jar;
    set CLASSPATH=%CLASSPATH%;%PVCS_HOME%\common\libcerttool\log4j-core-2.15.0.jar;
     
  2. PCを再起動します。

Linux/UNIX の場合

  1. 動作中のPVCSのファイルサーバー、クライアントを停止します。
     
  2. ファイルを置換します。
    $PVCS_HOME/vm/common/libcerttoolディレクトリ(デフォルトでは /usr/microfocus/vm/common/libcerttool)を開き、log4j-api-2.3.jar と log4j-core-2.3.jarの2ファイルを削除します
    ダウンロードした zip ファイルを展開し、中に含まれている log4j-api-2.16.0.jarとlog4j-core-2.16.0.jarファイルをこのディレクトリにコピーします
     
  3. 使用するバッチファイルを変更します。
    $PVCS_HOME/common/bin/linux/certtoolファイルを次のように変更します。
     
    変更前:
    CLASSPATH=$CLASSPATH:$PVCS_HOME/common/libcerttool/log4j-api-2.3.jar CLASSPATH=$CLASSPATH:$PVCS_HOME/common/libcerttool/log4j-core-2.3.jar  
    変更後:
    CLASSPATH=$CLASSPATH:$PVCS_HOME/common/libcerttool/log4j-2.16.0.jar CLASSPATH=$CLASSPATH:$PVCS_HOME/common/libcerttool/log4j-core-2.16.0.

追加情報

最新の情報に関しては、次のURLをご参照ください。 https://logging.apache.org/log4j/2.x/security.html