Japan
サイト内の現在位置
Apache Log4jにおける任意のコードが実行可能な脆弱性
掲載番号:NV22-001
脆弱性情報識別番号:JVNVU#96768815
概要
Log4jにはJNDI Lookup機能による外部入力値の検証不備に起因して任意のJavaコードを実行可能な脆弱性が存在します。
遠隔の攻撃者により細工された文字列をLog4jがログに記録することにより、システム上で任意のJavaコードが実行される可能性があります。
対象製品
SimpWright
対象となる製品のバージョン
SimpWright 7.2.0(Struts2.5)版
※バージョン情報ファイル(simp7/webapp/VersionInfo.txt)の内容を確認し「Ver. 7.2.0(Apache Struts 2.5.17)」の場合は対象となります。
SimpWright 7.2.0には複数のバージョンがありますが、「Ver. 7.2.0」のみ記載されたバージョンや上記バージョン以外のSimpWright V7は影響ありません。
SimpWright V8.0.0,V8.0.0_1,V8.0.0_2,V8.0.1
対処方法
対応用のモジュールを提供しています。
NECサポートポータルよりログインしてください。
https://www.support.nec.co.jp/
該当修正モジュールのコンテンツIDの 9010110024 で検索し、「【SimpWright】Apache Log4jにおける脆弱性(CVE-2021-45046)対策用修正モジュール」ページからダウンロードして、適用をお願いいたします。
ダウンロードファイルに修正モジュール、および適用手順を記載したテキストファイルが含まれておりますのでご確認をお願いいたします。
NECサポートポータルにログイン後、下記のURLからも修正モジュールのダウンロードページに遷移できます。
https://www.support.nec.co.jp/View.aspx?id=9010110024
NECサポートポータルから入手できない場合は、SimpWright製品のMLまでご連絡ください。
<製品ML>
simpwright[@]nes.jp.nec.com
FontAvenue UniAssist
対象となる製品のバージョン
FontAvenue UniAssist Webフォント V3.6
(同梱のV2.6互換コンポーネント利用の場合は除く)
対処方法
弊社営業にお問い合わせください。
StarOffice X
対象となる製品のバージョン
バージョン:StarOffice X V5.2、V5.3
(バンドルしているWebOTX Application Server Express 10.1、10.3が影響あり)
対処方法
以下のURLで公開している対処策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103720
エッジゲートウェイ
対象となる製品のバージョン
バージョン1
対処方法
最新版にて対処済みです。
EnterpriseIdentityManager
対象となる製品のバージョン
EIMv8.2以降
なお、EIMv8.2に関しては本脆弱性の影響を受ける場合と受けない場合があります。
以下のディレクトリに存在する log4j-api-*.*.*.jar の * の部分の番号が、2.x.x の場合に影響を受けます。
※対処方法に掲載しているURLにも情報を掲載しています。
[Windows版]
C:\Program Files\EIDM\WEBAP\TOMCAT\webapps\eidm\WEB-INF\lib
[Linux版]
/opt/nec/eidm/webap/webapps/eidm/WEB-INF/lib
対処方法
以下のURLで公開している対処策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103703
WebOTX
対象となる製品のバージョン
WebOTX Application Server Express V10.1~V10.4 (※)
WebOTX Application Server Standard V10.1~V10.4
WebOTX Developer V10.1~V10.4
WebOTX OLF/TP Connect for Container V10.3
(※) WebOTX Enterprise Service Bus V10.1、V10.3および、WebOTX Portal V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。
対処方法
NEC Advanced Analytics Platform Modeler
対象となる製品のバージョン
全てのバージョン
対処方法
パッチ適用版のモジュールを用意しております。製品営業までお問い合わせください。
GAZIRU
対象となる製品のバージョン
個体識別サーバV2.1、V3.5
対処方法
Log4jを最新バージョンにアップデートしてください。
NEC Cyber Security Platform
対象となる製品のバージョン
NCSPサーバー V2.0.6.0、V3.0.0.0、V3.0.0.3
(製品で使用しているWebOTX V10.2が脆弱性のあるApache Log4jを使用しているため)
対処方法
WebOTXより公開されている対処方法を通知済みです。ご確認ください。
Elastic Matcher
対象となる製品のバージョン
Elastic Matcher v1.3 以前
対処方法
Elastic Matcher v1.4にアップデートしてください。
SystemDirector Enterprise
対象となる製品のバージョン
SystemDirector Enterprise Asset Innovation Suite V1.0~V3.0
対処方法
回避策として、ロギング構成ファイルで%m ではなく%m {nolookups}となるように、すべてのロギングパターンレイアウトを変更してください。
なお、本製品はjndi lookupを使っていないため本回避策の影響はありません。
パッチご希望の方は問い合わせ窓口にご連絡ください。
1開ソフトウェア
対象となる製品のバージョン
Log4jを利用している全てのバージョン
対処方法
製品営業までお問い合わせください。
セキュリティリスク管理サービス
対象となる製品のバージョン
Elasticsearch / Logstash 7.6.1
対処方法
最新版にて対処済みです。
SecureWare/CLM
対象となる製品のバージョン
SecureWare/CLM V1.1.0、V1.1.1
対処方法
対処方法を通知しております。ご確認ください。
NEC 自動応答
対象となる製品のバージョン
チャットログ分析画面(voc) v4.2.0以降
データ分析画面(metabase) v4.3.0以降
対処方法
統合ポータルのコンテンツ管理よりパッチ情報を取得してください。
RAPID機械学習
対象となる製品のバージョン
NEC Advanced Analytics - RAPID機械学習 画像解析V2.2~V2.3 SP1R2
※2022/01/07リリースのV2.3 SP1 R3はインストール時に対策が実施されるため、対処不要です。
対処方法
営業までお問い合わせください。
ESMPRO/ServerManager
対象となる製品のバージョン
Ver7: 7.00(7.10)
Ver6: 6.37 ~ 6.56
対処方法
ESMPRO/UPSManager
対象となる製品のバージョン
Version:v10.0~v10.0.3
対処方法
下記参照の上で、PowerChute Business Edition のv10.0.5へのアップデートを実施してください。
https://jpn.nec.com/esmpro_um/index.html
-> 重要なお知らせ
-> PowerChute? Business Edition v10.0におけるApache Log4j の脆弱性対策について
(CVE-2021-44228)更新(2022/1/31版)の重要な注意事項
詳細は下記をご参照ください。
・ESMPRO/UPSManager パッチ/修正モジュール
https://jpn.nec.com/esmpro_um/update.html
-> アップデート情報
-> PowerChute Business Edition v10.0.5
なお、v10.0.5へのアップデート後、ご使用のOSに応じて、下記のPowerChute Business Edition v10.0.5対応 ESMPRO/UPSManager Ver2.8パッチモジュールを適用してください。
・ESMPRO/UPSManager パッチ/修正モジュール
https://jpn.nec.com/esmpro_um/update.html
-> アップデート情報
-> upsmsvc.zip (Windows版)
-> upsmsvc.tar (Linux版)
CONNEXIVE Edge Device Management
対象となる製品のバージョン
v2.0.2、v2.0.3
対処方法
以下のURLで公開している対処策を実施してください
https://www.support.nec.co.jp/View.aspx?id=9000102270
ACOS Access Toolkit
対象となる製品のバージョン
ACOS Access Toolkit for Java V3.4 REST Web Services Option
バージョン: 1.00.0001.001
対処方法
最新バージョン(1.00.0001.002)にて対策済みです。
UniversalBackup
対象となる製品のバージョン
UniversalBackupでバンドルしているNetBackupで影響あり
各バージョンでバンドルしているNetBackupのバージョンは以下の通り。
V8.2:NetBackup V8.2
V7.1:NetBackup V7.5
V6.1:NetBackup V7.0
対処方法
以下のページを参照して対処してください。(サポートポータルへのログインが必要です。)
https://www.support.nec.co.jp/View.aspx?id=3010103708
WebSAM SystemManager G
対象となる製品のバージョン
~9.x: オプション機能「Web Console」をご利用の場合に影響あり
10~:オプション機能の利用にかかわらず影響あり
対処方法
以下のURLで公開している対処策を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103727
SystemDirector Enterprise
対象となる製品のバージョン
SystemDirector Enterprise for Java Spring拡張モデル(JSF拡張/Spring拡張/MyBatis拡張モデル):V9.2~V12.0
SystemDirector Enterprise for Java JSFモデル((JSF/Spring/MyBatisモデル):V9.2~V9.4
対処方法
以下のURLで公開している回避策を実施し、パッチを適用してください。パッチを利用できない場合の対応についても記載しています。
http://www.spi.nec.co.jp/htmls/sdtools/dl/sde/notice/caution_java-CVE-2021-44228.txt
IoT共通基盤
対象となる製品のバージョン
IoT共通基盤に同梱されているApache Stormが脆弱性を含むLog4j2を利用
対処方法
以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110106
CONNEXIVE Application Platform
対象となる製品のバージョン
CONNEXIVE Application Platform V2.0/V1.0
対処方法
以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110106
CONNEXIVE PF
対象となる製品のバージョン
V7.0
対処方法
以下を参照して対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103731
参考情報
JVNVU#96768815
https://jvn.jp/vu/JVNVU96768815/index.html
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package
https://www.lunasec.io/docs/blog/log4j-zero-day/
更新情報
- 2022/12/09
-
WebSAM SystemManager G, SystemDirector Enterprise, CONNEXIVE Application Platform, IoT共通基盤, CONNEXIVE PF を登録しました。
- 2022/09/22
-
ACOS Access Toolkit, UniversalBackup を登録しました。
- 2022/08/05
-
CONNEXIVE Edge Device Management, ESMPRO/UPSManager を登録しました。
- 2022/04/15
-
ESMPRO/ServerManager を登録しました。
- 2022/03/09
-
1開ソフトウェア, セキュリティリスク管理サービス, SecureWare/CLM, NEC 自動応答, RAPID機械学習 を登録しました。
- 2022/01/25
-
SimpWright, FontAvenue UniAssist, FieldAnalystクラウドサービスアプリケーション, EnterpriseIdentityManager, WebOTX, NEC Advanced Analytics Platform Modeler, GAZIRU, NEC Cyber Security Platform, Elastic Matcher, SystemDirector Enterprise を登録しました。