サイト内の現在位置

Apache Log4jにおける任意のコードが実行可能な脆弱性

掲載番号:NV22-001
脆弱性情報識別番号:JVNVU#96768815

概要

Log4jにはJNDI Lookup機能による外部入力値の検証不備に起因して任意のJavaコードを実行可能な脆弱性が存在します。
遠隔の攻撃者により細工された文字列をLog4jがログに記録することにより、システム上で任意のJavaコードが実行される可能性があります。

対象製品

SimpWright

対象となる製品のバージョン

SimpWright 7.2.0(Struts2.5)版
 ※バージョン情報ファイル(simp7/webapp/VersionInfo.txt)の内容を確認し「Ver. 7.2.0(Apache Struts 2.5.17)」の場合は対象となります。
 SimpWright 7.2.0には複数のバージョンがありますが、「Ver. 7.2.0」のみ記載されたバージョンや上記バージョン以外のSimpWright V7は影響ありません。

SimpWright V8.0.0,V8.0.0_1,V8.0.0_2,V8.0.1

対処方法

対応用のモジュールを提供しています。
NECサポートポータルよりログインしてください。
https://www.support.nec.co.jp/

該当修正モジュールのコンテンツIDの 9010110024 で検索し、「【SimpWright】Apache Log4jにおける脆弱性(CVE-2021-45046)対策用修正モジュール」ページからダウンロードして、適用をお願いいたします。
ダウンロードファイルに修正モジュール、および適用手順を記載したテキストファイルが含まれておりますのでご確認をお願いいたします。

NECサポートポータルにログイン後、下記のURLからも修正モジュールのダウンロードページに遷移できます。
https://www.support.nec.co.jp/View.aspx?id=9010110024

NECサポートポータルから入手できない場合は、SimpWright製品のMLまでご連絡ください。
<製品ML>
simpwright[@]nes.jp.nec.com

FontAvenue UniAssist

対象となる製品のバージョン

FontAvenue UniAssist Webフォント V3.6
(同梱のV2.6互換コンポーネント利用の場合は除く)

対処方法

PPサポートポータルでlog4jの更新手順を公開しています。
http://support.pf.nec.co.jp/View.aspx?NoClear=on&id=3010103734

StarOffice X

対象となる製品のバージョン

バージョン:StarOffice X V5.2、V5.3
(バンドルしているWebOTX Application Server Express 10.1、10.3が影響あり)

対処方法

以下のURLで公開している対処策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103720

エッジゲートウェイ

対象となる製品のバージョン

バージョン1

対処方法

最新版にて対処済みです。

EnterpriseIdentityManager

対象となる製品のバージョン

 EIMv8.2以降
なお、EIMv8.2に関しては本脆弱性の影響を受ける場合と受けない場合があります。
 以下のディレクトリに存在する log4j-api-*.*.*.jar の * の部分の番号が、2.x.x の場合に影響を受けます。
※対処方法に掲載しているURLにも情報を掲載しています。

 [Windows版]
   C:\Program Files\EIDM\WEBAP\TOMCAT\webapps\eidm\WEB-INF\lib
 [Linux版]
   /opt/nec/eidm/webap/webapps/eidm/WEB-INF/lib

対処方法

以下のURLで公開している対処策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103703

WebOTX

対象となる製品のバージョン

WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP Connect for Container V10.3
(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

以下のURLで公開している対処策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103700
https://www.support.nec.co.jp/View.aspx?id=3010103721

NEC Advanced Analytics Platform Modeler

対象となる製品のバージョン

全てのバージョン

対処方法

パッチ適用版のモジュールを用意しております。製品営業までお問い合わせください。

GAZIRU

対象となる製品のバージョン

個体識別サーバV2.1、V3.5

対処方法

Log4jを最新バージョンにアップデートしてください。

NEC Cyber Security Platform

対象となる製品のバージョン

NCSPサーバー V2.0.6.0、V3.0.0.0、V3.0.0.3
(製品で使用しているWebOTX V10.2が脆弱性のあるApache Log4jを使用しているため)

対処方法

WebOTXより公開されている対処方法を通知済みです。ご確認ください。

Elastic Matcher

対象となる製品のバージョン

Elastic Matcher v1.3 以前

対処方法

Elastic Matcher v1.4にアップデートしてください。

SystemDirector Enterprise

対象となる製品のバージョン

SystemDirector Enterprise Asset Innovation Suite V1.0~V3.0

対処方法

回避策として、ロギング構成ファイルで%m ではなく%m {nolookups}となるように、すべてのロギングパターンレイアウトを変更してください。
なお、本製品はjndi lookupを使っていないため本回避策の影響はありません。

パッチご希望の方は問い合わせ窓口にご連絡ください。

1開ソフトウェア

対象となる製品のバージョン

Log4jを利用している全てのバージョン

対処方法

製品営業までお問い合わせください。

セキュリティリスク管理サービス

対象となる製品のバージョン

Elasticsearch / Logstash 7.6.1

対処方法

最新版にて対処済みです。

SecureWare/CLM

対象となる製品のバージョン

SecureWare/CLM V1.1.0、V1.1.1

対処方法

対処方法を通知しております。ご確認ください。

NEC 自動応答

対象となる製品のバージョン

チャットログ分析画面(voc) v4.2.0以降
データ分析画面(metabase) v4.3.0以降

対処方法

統合ポータルのコンテンツ管理よりパッチ情報を取得してください。

RAPID機械学習

対象となる製品のバージョン

NEC Advanced Analytics - RAPID機械学習 画像解析V2.2~V2.3 SP1R2
※2022/01/07リリースのV2.3 SP1 R3はインストール時に対策が実施されるため、対処不要です。

対処方法

以下のサポートポータルのページを参考に対処を実施してください。
http://support.pf.nec.co.jp/View.aspx?id=3140108446

ESMPRO/ServerManager

対象となる製品のバージョン

Ver7: 7.00(7.10)
Ver6: 6.37 ~ 6.56

対処方法

ESMPRO/UPSManager

対象となる製品のバージョン

Version:v10.0~v10.0.3

対処方法

下記参照の上で、PowerChute Business Edition のv10.0.5へのアップデートを実施してください。
 https://jpn.nec.com/esmpro_um/index.html
 -> 重要なお知らせ
  -> PowerChute? Business Edition v10.0におけるApache Log4j の脆弱性対策について
    (CVE-2021-44228)更新(2022/1/31版)の重要な注意事項

詳細は下記をご参照ください。
・ESMPRO/UPSManager パッチ/修正モジュール
 https://jpn.nec.com/esmpro_um/update.html
  -> アップデート情報
   -> PowerChute Business Edition v10.0.5

なお、v10.0.5へのアップデート後、ご使用のOSに応じて、下記のPowerChute Business Edition v10.0.5対応 ESMPRO/UPSManager Ver2.8パッチモジュールを適用してください。

・ESMPRO/UPSManager パッチ/修正モジュール
 https://jpn.nec.com/esmpro_um/update.html
  -> アップデート情報
   -> upsmsvc.zip (Windows版)
   -> upsmsvc.tar (Linux版)

CONNEXIVE Edge Device Management

対象となる製品のバージョン

v2.0.2、v2.0.3

対処方法

ACOS Access Toolkit

対象となる製品のバージョン

ACOS Access Toolkit for Java V3.4 REST Web Services Option
バージョン: 1.00.0001.001

対処方法

最新バージョン(1.00.0001.002)にて対策済みです。

UniversalBackup

対象となる製品のバージョン

UniversalBackupでバンドルしているNetBackupで影響あり
各バージョンでバンドルしているNetBackupのバージョンは以下の通り。
 V8.2:NetBackup V8.2
 V7.1:NetBackup V7.5
 V6.1:NetBackup V7.0

対処方法

以下のページを参照して対処してください。(サポートポータルへのログインが必要です。)
https://www.support.nec.co.jp/View.aspx?id=3010103708

参考情報

JVNVU#96768815
https://jvn.jp/vu/JVNVU96768815/index.html

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html

Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html

Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package
https://www.lunasec.io/docs/blog/log4j-zero-day/

更新情報

2022/09/22
ACOS Access Toolkit, UniversalBackup を登録しました。
2022/08/05
CONNEXIVE Edge Device Management, ESMPRO/UPSManager を登録しました。
2022/04/15
ESMPRO/ServerManager を登録しました。
2022/03/09
1開ソフトウェア, セキュリティリスク管理サービス, SecureWare/CLM, NEC 自動応答, RAPID機械学習 を登録しました。
2022/01/25
SimpWright, FontAvenue UniAssist, FieldAnalystクラウドサービスアプリケーション, EnterpriseIdentityManager, WebOTX, NEC Advanced Analytics Platform Modeler, GAZIRU, NEC Cyber Security Platform, Elastic Matcher, SystemDirector Enterprise を登録しました。