<概要>
在Apache Log4j的库里发现了可远程执行代码的漏洞(CVE-2021-44228)。
另外,发现了在同一个库里攻击妨碍服务运行的漏洞(CVE-2021-45046 以及 CVE-2021-45105)。
在本FAQ中,记载了这些漏洞会对 intra-mart 产品所产生的影响。
<有影响的产品>
・IM-ContentsSearch for Accel Platform
如果是使用2021 Spring及之后的所有版本的客户,并且使用的是从产品文件下载网上取得的Apache Solr情况下,会受到影响。
在受影响的Apache Solr里内藏了已确认漏洞的log4j-core-2.13.2.jar
另外,在Apache Solr里已经确认了CVE-2021-44228的影响,但还没有确认CVE-2021-45046以及CVE-2021-45105的影响。
https://solr.apache.org/security.html
・IM-SecureSignOn for Accel Platform
如果是使用2019 Winter及之后的所有版本的客户,并且使用的是从产品文件下载网上取得的以下任意产品的情况下,会受到影响。
・IM-SecureSignOn-8.0.4.zip
・IM-SecureSignOn-8.0.5.zip
在受到影响的版本的 VANADIS SecureJoin SSO Login Server中使用了Apache Log4j。
另外,关于VANADIS SecureJoin SSO Login Server现在在开发公司那边正在进行调查,但还没有确认标准设定下会受到CVE-2021-45046的影响。
■解决方法
・IM-ContentsSearch for Accel Platform
从2021年12月24日开始,提供不受漏洞影响的Apache Solr。
https://issue.intra-mart.jp/issues/34041
如果您使用的是受漏洞影响的Apache Solr,请从产品文件下载站点下载solr.zip,然后按照以下步骤进行迁移。
https://document.intra-mart.jp/library/iap/public/im_contents_search/solr_administrator_guide/texts/operation/index.html#migration
・IM-SecureSignOn for Accel Platform
VANADIS产品的制造商已分发官方通知文件。
记载在通知文件中记载的应对措施。
请通过升级VANADIS SecureJoin SSO Login Server中包含的Apache Log4j,采取措施防范漏洞。
1.准备资料
2.筛选更换对象的资料
3.替换资料
<1.准备资料>
请从以下Apache Log4j官网下载已采取漏洞防范措施的2.17.0版本。
URL:https://logging.apache.org/log4j/2.x/download.html
获取资料:
Apache Log4j 2 binary (tar.gz) |apache-log4j-2.17.0-bin.tar.gz
Apache Log4j 2 binary (zip) |apache-log4j-2.17.0-bin.zip
※请根据使用环境下载tar.gz和zip中的任意一个。
<2.筛选更换对象的资料>
通过根据步骤1.获取的资料,准备更新所需的以下资料。
・log4j-web-2.17.0.jar
・log4j-api-2.17.0.jar
・log4j-core-2.17.0.jar
・log4j-jcl-2.17.0.jar
<3.替换资料>
请将对象VANADIS SecureJoin SSO Login Server的以下替换对象文件保存到其他目录,
然后将根据步骤2.获取的文件保存到替换对象文件的路径中。
替换对象文件的路径:{安装目录※}/WEB-INF/lib
※ SecureJoin SSO Server的示例:/usr/local/tomcat/webapps/sso
替换对象文件名:
・log4j-web-2.xx.x.jar
・log4j-api-2.xx.x.jar
・log4j-core-2.xx.x.jar
・log4j-jcl-2.xx.x.jar
※文件名版本符号的末尾“x”部分因产品而异。
<没有影响的产品-1>
已确认在下述产品中没有使用log4j 2.x以及log4j 1.x。
另外,作为标准的日志输出功能,使用log4j-over-slf4j-xxxx.jar的API输出日志。
log4j-over-slf4j-xxxx.jar有一个log4j的接口,但因为它是另一种将处理改为slf4j的实现,所以这个漏洞不适用。
intra-mart Accel Platform
intra-mart Accel Collaboration(包含电子会议室以及问卷调查)
intra-mart Accel Documents
intra-mart Accel Documents Secure Download Option
intra-mart Accel GroupMail
intra-mart DPS 系列
IM-RPA(包含im_winactor_agent)
IM-BPM for Accel Platform
IM-ERP Real Connect for Accel Platform
IM-BloomMaker for Accel Platform
Accel Studio
IM-FormaDesigner for Accel Platform
IM-BIS for Accel Platform
IM-Spreadsheet for Accel Platform
intra-mart WebPlatform / AppFramework
intra-mart BaseModule
intra-mart e Builder for Accel Platform
IM-Juggling
中间件(经由Product File Download网站发布的产品)
Caucho Resin
intra-mart Accel Archiver
intra-mart Accel Kaiden! 经费旅费
intra-mart Accel Kaiden! 考勤管理
intra-mart Accel Kaiden! 个人号码
IM-X-Server
IM-X Server DB Bridge
IM-X Server Management Service
IM-PDFAutoConverter for Accel Platform
IM-PDFDesigner for Accel Platform
IM-PDFDesigner FullPack for Accel Platform
IM-PDFDirectPrint for Accel Platform
IM-PDFTimeStamper for Accel Platform
Accel-Mart Quick/Plus
<没有影响的产品-2>
在以下产品中使用了log4j 1.x,但已确认没有受到漏洞的影响。
IM-PDFCoordinator for Accel Platform
Apache Cassandra 1.1.12
<关于周边中间件产品>
关于Web服务器、数据库等客户导入的中间件产品,请您咨询各个销售产品的公司。
FAQID:1133
在Apache Log4j的库里发现了可RCE(远程执行代码)的漏洞(CVE-2021-44228),以及发现了攻击妨碍服务运行的漏洞。请告知对intra-mart产品的影响。
