Apache Log4j で見つかった脆弱性に関する製品への影響について

Apache Log4j で見つかった脆弱性に関する製品への影響について

2021年12月に報告されたApache Log4j (以下、Log4jと表記)で見つかった脆弱性の弊社取り扱い製品に対する影響有無についてお知らせします。(2021年12月23日更新

Log4jの脆弱性について、Brava for FileServerおよびBlazon for FileServer を構成する製品(Brava Enterprise / Blazon Enterprise / Astack)の開発元に確認を取りました。

Astack

Astack開発元のNHKテクノロジーズ社の見解は以下の通りです。
[影響を受けるバージョン]
  1. Astack 2.xはLog4jを使用しておらず、本脆弱性の影響を受けません。
  2. Astack 3.0以降のバージョンでは、実装された内部検索エンジン(「Fess」)でLog4jが使用されているため、本脆弱性の影響を受けます。 (「Fess」サービスが開始状態の場合)
[対処策]
  1. 本脆弱性に対応した脆弱性対応版がAstack開発元のNHKテクノロジーズ社から公開されましたので、以下にご案内いたします。

    【脆弱性対応版の修正内容】
    本脆弱性の影響を受ける「log4j-core-x.x.x.jar」から特定のclassファイル(JndiLookup.class)を削除しました。("x.x.x"はバージョン番号)

    【脆弱性対応版の入手方法】
    使用しているAstackバージョンに適した脆弱性対応版の「log4j-core-x.x.x-n.jar」をダウンロードしてください。

     ▼Astack 3.0.0~3.1.3を使用している場合
      こちらのリンクから本バージョン用の脆弱性対応版(log4j-core-2.9.1-n.jar)をダウンロードできます。
     ▼Astack 3.1.4~3.2.2(またはそれ以降)を使用している場合
      こちらのリンクから本バージョン用の脆弱性対応版(log4j-core-2.11.1-n.jar)をダウンロードできます。

    【脆弱性対応版の適用手順】
    脆弱性対応版の適用手順をご説明します
    1. Astack使用バージョンに合ったZIPファイルをダウンロードしたら解凍し、「log4j-core-x.x.x-n.jar」を入手する
    2. 「Windows」キーを押しながら「R」キーを押して「ファイル名を指定して実行」を起動し、「services.msc」と入力してサービス管理マネージャーを起動する
    3. サービス管理マネージャーで「fess-service-x64」サービスを停止する
    4. 下記フォルダ内にある既存の「log4j-core-x.x.x.jar」を削除し、代わりに送付されたjarファイルの同一バージョンを同じ場所に配置する
       [Astack作業フォルダ]\Fess\app\WEB-INF\lib
    5. サービス管理マネージャーで「fess-service-x64」サービスを開始する
  1. 上記の修正版を適用せず、本脆弱性への対策を行う場合は、以下の暫定的対策(「JndiLookupクラスをクラスパスから削除する」)を実施してください。
    1. 「Windows」キーを押しながら「R」キーを押して「ファイル名を指定して実行」を起動し、「services.msc」と入力してサービス管理マネージャーを起動する
    2. サービス管理マネージャーで「fess-service-x64」のサービスを停止する
    3. 下記フォルダ内にあるlog4j-core-x.x.x.jarを別の場所にコピーし、拡張子を .jar から .zip に変更する(x.x.xはlog4jのバージョン番号)
       [Astack作業フォルダ]\Fess\app\WEB-INF\lib
    4. リネームしたzipファイルを[log4j-core-x.x.x]フォルダ内に展開してから、下記フォルダ内にある「Jndilookup.class」ファイルを削除する
       [log4j-core-x.x.x\org\apache\logging\log4j\core\lookup]
    5. ルートの[log4j-core-x.x.x]フォルダを参照し、直下にある全てのファイル、フォルダを選択した状態で右クリックし、メニュー上の「送る > 圧縮(zip 形式)フォルダー」を実行する
    6. 手順5で作成したzipファイルの拡張子を .zip から .jarに変更する
    7. 下記フォルダ内にあるlog4j-core-x.x.x.jarを削除し、代わりに手順6で作成したjarファイル(log4j-core-x.x.x.jar)を同じフォルダに配置する
       [Astack作業フォルダ]\Fess\app\WEB-INF\lib
    8. サービス管理マネージャーで「fess-service-x64」サービスを開始する


Brava Enterprise / Blazon Enterprise


Brava EnterpriseおよびBlazon Enterprise 開発元 OpenText社(カナダ)の見解については、こちらのWebページ(Bravaサーバー製品ヘルプセンターの「よくあるお問い合わせ」)をご参照ください。


    • Related Articles

    • 一部ファイルで変換エラーが発生した場合にご提供をお願いしたい情報

      一部のファイルで変換エラーが発生した場合は、調査に必要な以下4点の情報をご提供ください。 (状況によっては、他の情報が必要になる場合もあります。その場合は都度ご案内します。) (1)Astackビルドログ ・Astackログ出力フォルダ(※)に、「build_YYYYMM.log」というファイル名で出力されます。  (※)デフォルトの場合、「C:¥Astack¥Logfiles」​    それ以外の場合、Astack Configuratorの「PathLogFolder」で確認可能です。 ...
    • Brava for FileServer 16.6.3.2のシステム要件、ハードウェア要件

      ファイルサーバー系製品 動作環境 各製品の最新バージョンにて要件として定められている動作環境は下記となります。 Brava  for FileServer 16.6.3.2 動作環境 Bravaサーバー (Brava Enterprise 16.6) OS *1 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016 CPU 2–Core 2006–era Xeon (または同等)  2.0GHZ以上推奨 メモリ ...
    • Windows Update 2017年8月以降分の適用による影響について

      2017年8月以降にマイクロソフト社から配信された月例セキュリティプログラムを適用した一部環境において、ActiveXビューア(印刷時)に関する問題が確認されています。 【障害の内容】 現在確認されている主な事象は、以下の通りです。 ・表示データの印刷時、一定サイズ以上の原稿サイズ(B4以上)を選択すると白紙で出力される。 【発生原因】 ...
    • .Net Framework 4.5.2のサポートについて(バージョン16.0まで)

      ※本情報は、Brava/Blazon 16.0以前のバージョンに関する内容です。Brava/Blazon 16.3以降では必要ありません。 Brava/Blazonが使用する.Net Frameworkにつきましては、4.5.2での動作が保証されています。 サポート終了が決定している.NET Framework 4.0、4.5、および 4.5.1については、4.5.2にアップグレードすることが可能です。 なお、これまでの.NET Frameworkのバージョンが4.0の場合(OSがWindows ...
    • 設定ユーザーに必要な権限

      プログラムインストール時や設定時に使用するユーザーについて必要な権限は以下の通りです。 Astack・Blazon Enterprise/Brava Enterpriseのインストールユーザー インストール先サーバー上でAdministrators権限 JobProcessorサービス実行ユーザー インストール時の実行ユーザーと同一 元文書フォルダに読み取り権限 公開フォルダに書き込み権限 Astack ...