Apache Log4j で見つかった脆弱性に関する製品への影響について

Apache Log4j で見つかった脆弱性に関する製品への影響について

2021年12月に報告されたApache Log4j (以下、Log4jと表記)で見つかった脆弱性の弊社取り扱い製品に対する影響有無についてお知らせします。(2021年12月23日更新

Log4jの脆弱性について、Brava for FileServerおよびBlazon for FileServer を構成する製品(Brava Enterprise / Blazon Enterprise / Astack)の開発元に確認を取りました。

Astack

Astack開発元のNHKテクノロジーズ社の見解は以下の通りです。
[影響を受けるバージョン]
  1. Astack 2.xはLog4jを使用しておらず、本脆弱性の影響を受けません。
  2. Astack 3.0以降のバージョンでは、実装された内部検索エンジン(「Fess」)でLog4jが使用されているため、本脆弱性の影響を受けます。 (「Fess」サービスが開始状態の場合)
[対処策]
  1. 本脆弱性に対応した脆弱性対応版がAstack開発元のNHKテクノロジーズ社から公開されましたので、以下にご案内いたします。

    【脆弱性対応版の修正内容】
    本脆弱性の影響を受ける「log4j-core-x.x.x.jar」から特定のclassファイル(JndiLookup.class)を削除しました。("x.x.x"はバージョン番号)

    【脆弱性対応版の入手方法】
    使用しているAstackバージョンに適した脆弱性対応版の「log4j-core-x.x.x-n.jar」をダウンロードしてください。

     ▼Astack 3.0.0~3.1.3を使用している場合
      こちらのリンクから本バージョン用の脆弱性対応版(log4j-core-2.9.1-n.jar)をダウンロードできます。
     ▼Astack 3.1.4~3.2.2(またはそれ以降)を使用している場合
      こちらのリンクから本バージョン用の脆弱性対応版(log4j-core-2.11.1-n.jar)をダウンロードできます。

    【脆弱性対応版の適用手順】
    脆弱性対応版の適用手順をご説明します
    1. Astack使用バージョンに合ったZIPファイルをダウンロードしたら解凍し、「log4j-core-x.x.x-n.jar」を入手する
    2. 「Windows」キーを押しながら「R」キーを押して「ファイル名を指定して実行」を起動し、「services.msc」と入力してサービス管理マネージャーを起動する
    3. サービス管理マネージャーで「fess-service-x64」サービスを停止する
    4. 下記フォルダ内にある既存の「log4j-core-x.x.x.jar」を削除し、代わりに送付されたjarファイルの同一バージョンを同じ場所に配置する
       [Astack作業フォルダ]\Fess\app\WEB-INF\lib
    5. サービス管理マネージャーで「fess-service-x64」サービスを開始する
  1. 上記の修正版を適用せず、本脆弱性への対策を行う場合は、以下の暫定的対策(「JndiLookupクラスをクラスパスから削除する」)を実施してください。
    1. 「Windows」キーを押しながら「R」キーを押して「ファイル名を指定して実行」を起動し、「services.msc」と入力してサービス管理マネージャーを起動する
    2. サービス管理マネージャーで「fess-service-x64」のサービスを停止する
    3. 下記フォルダ内にあるlog4j-core-x.x.x.jarを別の場所にコピーし、拡張子を .jar から .zip に変更する(x.x.xはlog4jのバージョン番号)
       [Astack作業フォルダ]\Fess\app\WEB-INF\lib
    4. リネームしたzipファイルを[log4j-core-x.x.x]フォルダ内に展開してから、下記フォルダ内にある「Jndilookup.class」ファイルを削除する
       [log4j-core-x.x.x\org\apache\logging\log4j\core\lookup]
    5. ルートの[log4j-core-x.x.x]フォルダを参照し、直下にある全てのファイル、フォルダを選択した状態で右クリックし、メニュー上の「送る > 圧縮(zip 形式)フォルダー」を実行する
    6. 手順5で作成したzipファイルの拡張子を .zip から .jarに変更する
    7. 下記フォルダ内にあるlog4j-core-x.x.x.jarを削除し、代わりに手順6で作成したjarファイル(log4j-core-x.x.x.jar)を同じフォルダに配置する
       [Astack作業フォルダ]\Fess\app\WEB-INF\lib
    8. サービス管理マネージャーで「fess-service-x64」サービスを開始する


Brava Enterprise / Blazon Enterprise


Brava EnterpriseおよびBlazon Enterprise 開発元 OpenText社(カナダ)の見解については、こちらのWebページ(Bravaサーバー製品ヘルプセンターの「よくあるお問い合わせ」)をご参照ください。


    • Related Articles

    • ビルドエラーや変換エラーが発生した際の調査に必要な情報について

      Astack使用中にトラブルが発生した場合、Astack ログファイル一式の提供をお願いする場合があります。 その場合、下記情報を参考にしてAstack関連のログファイルを取得してご提供ください。  ・[Astack 作業フォルダ]\Logfiles\*.log (更新日時が調査対象月のLogファイル)   (例) [C:\Astack\Logfiles\build_202207.log, error_202207.log]   ※本ログフォルダの場所は、「Astack ...

    • .Net Framework 4.5.2のサポートについて(バージョン16.0まで)

      ※本情報は、Brava/Blazon 16.0以前のバージョンに関する内容です。Brava/Blazon 16.3以降では必要ありません。 Brava/Blazonが使用する.Net Frameworkにつきましては、4.5.2での動作が保証されています。 サポート終了が決定している.NET Framework 4.0、4.5、および 4.5.1については、4.5.2にアップグレードすることが可能です。 なお、これまでの.NET Frameworkのバージョンが4.0の場合(OSがWindows ...

    • お問い合わせに関する「よくあるご質問」

      お問い合わせに関する「よくあるご質問」を下記の通りまとめました。 Q: 製品購入済ですが、保守サポート番号がわかりません。 A: Brava製品の保守サポート番号は、「OTX-」のプリフィクスで始まる番号で、以下件名のメールに記載されています。 「【製品名】ユーザー登録とライセンス情報のご連絡」 (納品時に送付) 「【製品名】保守サポートサービスに関するご連絡」  (保守契約更新時に送付) 「【製品名】ご契約更新のご案内」          (保守更新時期案内として送付) ...

    • Brava for FileServer 16.3.3.1のシステム要件、ハードウェア要件

      ファイルサーバー系製品 動作環境 Brava for FileServer 16.3.3.1に含まれる各製品の要件として定められている動作環境は下記となります。 Brava  for FileServer 16.3.3.1動作環境 Bravaサーバー (Brava Enterprise 16.3) OS *1 Windows Server 2008 R2 SP1 Standard/Enterprise Windows Server 2012 Standard Windows Server ...

    • Brava for FileServer のサポート対象ファイルフォーマット

      Brava for FileServerに含まれる「Brava Enterprise」では、取り扱い対象ファイルとして様々な種類の「文書フォーマット」「CADフォーマット」「画像フォーマット」をサポートしています。 最新バージョン(16.6)におけるフォーマットや拡張子の詳細は下記表をご確認ください。 ※Officeファイルに関しては、変換処理の際にOfficeアプリケーションが必要となります。 ...