セキュリティアドバイザリ:Apache Log4j の脆弱性
| アドバイザリ ID: | appd-sa-log4shell | |
| 初版: |
2021 年 12 月 10 日 14:00 PST | |
| 最終更新日: |
2022 年 1 月 7 日 12:00 PST | |
| バージョン 1.26: | Interim | |
| 回避策: |
以下の製品固有の情報を参照してください。 | |
| CVSSスコア: |
Base 10.0(CVE-2021-44228) Base 9.0(CVE-2021-45046) |
概要
2021 年 12 月 9 日に、2.15.0 より前のすべての Log4j2 バージョンに影響を与える次の Apache Log4j Java ロギングライブラリの重大な脆弱性が公開されました。
- CVE-2021-44228:Apache Log4j2 JNDI 機能は、攻撃者が制御する LDAP およびその他の JNDI 関連の端末に対して保護を提供しない。
2021 年 12 月 14 日、バージョン 2.15.0 以前の特定の Apache Log4j のユースケースに影響を与える、以下の重大な脆弱性が公開されました。
- CVE-2021-45046:Apache Log4j2 スレッド コンテキスト メッセージ パターンおよびコンテキスト ルックアップ パターンは、サービス拒否攻撃に対して脆弱である。
2021 年 12 月 17 日、Apache は、2.17 より前の Log4j の特定のバージョンに影響する別の Log4j の脆弱性(CVE-2021-45105)を公開しました。
2021 年 12 月 27 日、Apache は、Log4j の特定のバージョン(2.17 まで)に影響する別の Log4j の脆弱性(CVE-2021-44832)を公開しました。
これらの新しい脆弱性に関連する更新については、「Security Advisory: CVE-2021-45105 in Apache Log4j」に記載されています。
これらの脆弱性の詳しい説明については、「Apache Log4j Security Vulnerabilities」を参照してください。
このアドバイザリは、AppDynamics のお客様がオンプレミスで使用し、適宜アクションを実行する必要がある製品に対処することを目的としています。
AppDynamics の SaaS プラットフォームは継続的に監視され、改善されています。この脆弱性への対応の一環として、SaaS 環境内で脆弱なライブラリを発見し、お客様とそのデータに対するリスクを最小限に抑えるための緩和手順を講じました。また、異常を捉えて調査するための定期的な脅威ハンティングと監視を強化し、潜在的な攻撃ウィンドウを削減するために保護を拡張しました(既知の不正な IP アドレスのブロックなど)。
この脆弱性が SaaS のお客様に影響を与える場合は、標準規格のサポートチャネルを通じてお客様に直接ご連絡します。SaaS レスポンスに関するこれ以上の追加情報は、ここに記載される予定はありません。
このアドバイザリは、次のリンクから入手できます。https://docs.appdynamics.com/display/PAA/Security+Advisory%3A+Apache+Log4j+Vulnerability
その他のシスコ製品に関する質問については、「Cisco Public Advisory」を参照してください。
影響を受ける製品
脆弱性が存在する製品
Apache Webサーバーエージェント
21.12.0 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
21.12.1 より前のバージョンは、CVE-2021-45046 に対して脆弱です。
AppDynamics では、バージョン 21.12.1(以降)にアップグレードすることを推奨しています。
現時点では、この製品で緩和策はテストされていません。
コントローラ(オンプレミス)
以下の「Enterprise Console / コントローラ(オンプレミス)」を参照してください。
データベースエージェント
21.12.0 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
21.12.1 より前のバージョンは、CVE-2021-45046 に対して脆弱です。
AppDynamics では、バージョン 21.12.1(以降)にアップグレードすることを推奨しています。
Enterprise Console / コントローラ(オンプレミス)
オンプレミスの Enterprise Console/コントローラには、Java エージェントが含まれています。21.4.10 より前の Enterprise Console に含まれる Java エージェントは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱でした。
AppDynamics では、バージョン 21.4.10(以降)にアップグレードすることを推奨しています。
アップグレードできないお客様は、次の 2 つの方法でこれらの脆弱性のリスクを軽減できます。
- オプション A:コントローラの Java エージェントを Java エージェント JDK8+ 21.11.2 にアップグレードします。詳細な手順については、シスコのドキュメントの「Upgrade the Java Agent」を参照してください。コントローラの Java エージェントは、次のディレクトリにインストールされます。
<controller-directory>/appserver/glassfish/domains/domain1/appagent
- オプション B:Java エージェントについて、以下に記載されている緩和手順を実行します。
Javaエージェント
Java エージェント JDK 8+21.11.1 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
21.11.2 より前のバージョンは、CVE-2021-45046 に対して脆弱です。
AppDynamics では、Java エージェント JDK 8+ を使用しているお客様に、Java エージェント JDK 8+ 21.11.2(以降)にアップグレードすることを推奨しています。
(注:Java エージェント JDK8+ は JDK6 または JDK7 をサポートしていません)
Java エージェントレガシー - Sun および JRockitこの構成は Log4j 1.x を使用しているため、JDK6 用に構成されたすべてのバージョンは脆弱ではありません。
JDK7 以降用に構成された 21.11.2 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
AppDynamics では、Java エージェントレガシー - Sun および JRockit を使用しているお客様に、Java エージェントレガシー - Sun および JRockit 21.11.2 へのアップグレードを推奨しています。
Java エージェントレガシー - IBM JVMこの構成は Log4j 1.x を使用しているため、JDK6 用に構成されたすべてのバージョンは脆弱ではありません。
JDK7 以降用に構成された 21.11.2 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
AppDynamics では、Java エージェントレガシー - IBM JVM を使用しているお客様に、Java エージェントレガシー - IBM JVM 21.11.2(以降)へのアップグレードを推奨しています。
Java エージェントの緩和策Java エージェント JDK 8+、Java エージェントレガシー - Sun および JRockit、Java エージェントレガシー - IBM JVM に適用されます。
Java エージェントの修正済みリリースにアップグレードできないお客様は、JndiLookup クラスを削除することでこのリスクを軽減できる可能性があります。次のコマンドは、エージェントがインストールされている <version>/lib/tp ディレクトリで実行する必要があります。
zip -dq log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.classこの変更により、アプリケーションの再起動が必要になります。
マシンエージェント
21.12.0 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
21.12.1 より前のバージョンは、CVE-2021-45046 に対して脆弱です。
AppDynamics では、Windows で実行しているお客様に、バージョン 21.12.2(以降)にアップグレードすることを推奨しています。
AppDynamics では、その他すべてのオペレーティングシステムを使用している場合に、バージョン 21.12.1(以降)にアップグレードすることを推奨しています。
アップグレードできないお客様は、マシンエージェントのインストールディレクトリで次のコマンドを実行することにより、この脆弱性によるリスクを軽減できます。
zip -dq lib/log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class この変更により、マシンエージェントの再起動が必要になります。
Node.jsエージェント
21.9 より前のバージョンは、Java プロキシが有効になっている場合にのみ、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。(Javaプロキシは、Node.js エージェント 4.5.16 以降ではデフォルトでオフになっています)。
プロキシを有効化して Node.js を実行している場合は、次の 2 つの変更のいずれかを行うことで、この脆弱性を軽減できます。
- オプション A:Java プロキシを無効化します。
- Node.js バージョン 4.5.16 以降:エージェント設定から "proxy:true" を削除します(これはデフォルト設定です)。
- 4.5.16 より前の Node.js バージョン:エージェント設定で "libagent:true" を設定します。
-
オプション B:ファイル
singularity-log4j.jarがappdynamics-proxy/proxy/lib/ディレクトリに存在するかどうかを確認します。存在する場合、ユーザー側のアクションは必要ありません。存在しない場合は、classpathからJndiLookupクラスを削除してください。次のコマンドは、エージェントがインストールされている<version>/lib/tpディレクトリで実行する必要があります。zip -dq log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.classこの変更により、アプリケーションの再起動が必要になります。
PHPエージェント
21.12.0 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
21.12.1 より前のバージョンは、CVE-2021-45046 に対して脆弱です。
AppDynamics では、バージョン 21.12.1(以降)にアップグレードすることを推奨しています。
現時点では、この製品で緩和策はテストされていません。
Pythonエージェント
21.12.0 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
21.12.1 より前のバージョンは、CVE-2021-45046 に対して脆弱です。
AppDynamics では、バージョン 21.12.1(以降)にアップグレードすることを推奨しています。
現時点では、この製品で緩和策はテストされていません。
ServiceNow ユーティリティ(AppDynamics CMDB 統合)
21.12.0 より前のバージョンは、CVE-2021-44228 および CVE-2021-45046 に対して脆弱です。
AppDynamics では、バージョン 21.12.1(以降)にアップグレードすることを推奨しています。
追加のサポートが必要な場合
修復手順に関する追加のアドバイスが必要な場合は、シスコの CX チームが支援します。ご不明な点がございましたら、こちらから弊社チームとのミーティングをご予約の上、お問い合わせください。
脆弱性がないことが確認された製品
AppDynamics では、次の製品が CVE-2021-44228 および CVE-2021-45046 の影響を受けないことが確認されています。
-
.NETエージェント
-
ABAP エージェント(SAP ABAP モニタリング)
-
分析エージェント
-
ブラウザ リアル ユーザー モニタリング(BRUM)
- C/C++ SDK エージェント
- クラスタエージェント
- EUM GeoServer
-
EUM サーバー
-
イベントサービス(オンプレミス)
-
Go Language SDK エージェント
-
IBM Integration Bus(IIB)エージェント
- IoT デバイス SDK(C/C++、Java、REST API)
- マシンエージェントの拡張機能
-
モバイル RUM エージェント
- ネットワークエージェント
-
Ruby エージェント
-
合成プライベートエージェント(Linux ベース)
-
合成プライベートエージェント(Windows ベース)
-
合成サーバー
CVE-2021-44228 および CVE-2021-45046 に関するパッチが適用された製品のリストについては、後述の「修正済みリリース」を参照してください。
回避策
製品に固有の緩和策については、上記の「脆弱性が存在する製品」のセクションで概説しています。
修正済みソフトウェア
シスコの AppDynamics は、このアドバイザリに記載された脆弱性に対処するソフトウェアアップデートをリリースしました。お客様がインストールしたり、サポートを受けたりできるのは、最新のライセンスを保持し、有効なサポートとメンテナンス契約を持つソフトウェアバージョンとフィーチャセットのみです。当該のソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は AppDynamics のライセンス条項に従うことに同意したことになります。セキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェアライセンスや追加のソフトウェア フィーチャ セットに対する権限が付与されることはありません。
最新のライセンスを持ち、有効なサポートおよびメンテナンス契約をお持ちのお客様は、既存の AppDynamics 配信サーバー ダウンロード アカウントからソフトウェアの修正バージョンをダウンロードできます。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。情報が明確でない場合は、AppDynamics Support システムでサポートチケットを開くことをお勧めします。
固定リリース
CVE-2021-44228 および CVE-2021-45046 は、次のリリースで修正されています。AppDynamics ダウンロードポータル(https://download.appdynamics.com)を参照してください。
- Apache Web サーバーエージェント 21.12.1
- データベースエージェント 21.12.1
- Enterprise Console 21.4.10
- Java エージェント JDK 8+ 21.11.2
- Java エージェントレガシー - IBM JVM 21.11.2
- Java エージェントレガシー - Sun および JRockit 21.11.2
- Windows 用マシンエージェント 21.12.2
- 他のすべてのオペレーティングシステム用マシンエージェント 21.12.1
- PHP エージェント 21.12.1
- Python エージェント 21.12.1
- ServiceNow ユーティリティ(AppDynamics CMDB 統合)21.12.1
修正済みのリリースにアップグレードできないお客様は、上記の「脆弱な製品」セクションに概説されている緩和手順を実装する必要があります。
不正利用事例と公式発表
AppDynamics では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
ソース
CVE-2021-44228:この脆弱性は、2021 年 12 月 9 日の Apache Log4j のセキュリティ脆弱性に関する発表で公開されました。
CVE-2021-45046:この脆弱性は、2021 年 12 月 14 日の Apache Log4j のセキュリティ脆弱性に関する発表で公開されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Interim |
2021 年 12 月 10 日 14:00 PST |
| 1.1 | 製品情報をさらに追加しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 10 日 17:00 PST |
| 1.2 | 製品情報をさらに追加しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 10 日 20:00 PST |
| 1.3 | 製品情報をさらに追加しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 11 日 01:00 PST |
| 1.4 | 追加の製品情報と formatMsgNoLookups 設定のスペル修正 | 影響を受ける製品 | Interim | 2021 年 12 月 11 日 15:00 PST |
| 1.5 | 追加の製品情報。製品をアルファベット順にソートしました。 | 影響を受ける製品 | Interim | 2021 年 12 月 11 日 22:00 PST |
| 1.6 | 追加の製品情報。 | 影響を受ける製品 | Interim | 2021 年 12 月 12 日 18:00 PST |
| 1.7 | 製品バージョンを明記。オンプレミスコントローラの Java エージェントのアップグレード手順が追加されました。 | 影響を受ける製品 | Interim | 2021 年 12 月 13 日 01:00 PST |
| 1.8 | Java エージェントのセクションを調整し、JDK 8+ バージョンのみにパッチが適用され、他のすべてのバージョンに緩和策が必要であることを明記しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 13 日 08:00 PST |
| 1.9 | 追加のシステムパラメータ変数を追加しました | 影響を受ける製品 | Interim | 2021 年 12 月 13 日 17:00 PST |
| 1.10 | IoT デバイス SDK を追加しました | 影響を受ける製品 | Interim | 2021 年 12 月 13 日 19:00 PST |
| 1.11 | SaaS 環境に関する情報を追加しました。Java エージェントレガシーの説明を追加しました。 | 概要、影響を受ける製品 | Interim | 2021 年 12 月 13 日 22:00 PST |
| 1.12 | Ruby、Go Lang を追加しました。明確化のため製品名を拡張しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 14 日 10:00 PST |
| 1.13 | node.js の手順を変更しました。CVE-2021-45046 に関する情報を追加しました。 | 概要、影響を受ける製品 | Interim | 2021 年 12 月 14 日 13:30 PST |
| 1.14 | Java エージェントとマシンエージェントのガイダンスを更新 | 影響を受ける製品 | Interim | 2021 年 12 月 14 日 18:00 PST |
| 1.15 | Apache、Node.js、Python、PHP の情報、保留中のアップグレードバージョンを更新しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 14 日 18:30 PST |
| 1.16 | 追加の製品情報。 | 影響を受ける製品 | Interim | 2021 年 12 月 15 日 05:00 PST |
| 1.17 | Java エージェント、マシンエージェント、Windows 用マシンエージェント、Node.js のガイダンス、および脆弱性がないと確認された製品を更新しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 15 日 10:30 PST |
| 1.18 |
JDK6 を実行する Java エージェント、調査中のマシンエージェントの拡張機能の説明。 | 影響を受ける製品 | Interim | 2021 年 12 月 15 日 19:30 PST |
| 1.19 | マシンエージェントバージョン、追加のサポート情報の説明。 | 影響を受ける製品 | Interim | 2021 年 12 月 16 日 12:30 PST |
| 1.20 | ServiceNow エージェントを「調査中」に移動 | 影響を受ける製品 | Interim | 2021 年 12 月 16 日 14:30 PST |
| 1.21 | ServiceNow ユーティリティバージョンを公開しました | 影響を受ける製品 | Interim | 2021 年 12 月 16 日 19:30 PST |
| 1.22 | Enterprise Console を追加しました。明確化のための軽微な変更。 | 概要、影響を受ける製品 | Interim | 2021 年 12 月 17 日 14:30 PST |
| 1.23 | CVE-2021-45105 を追加しました。 | 概要 | Interim | 2021 年 12 月 18 日 09:30 PST |
| 1.24 | CVE-2021-45105 のアドバイザリへのリンクを追加しました。 | 概要 | Interim | 2021 年 12 月 20 日 15:30 PST |
| 1.25 | 合成プライベート エージェント バージョンに関する説明 | 影響を受ける製品 | Interim | 2021 年 12 月 21 日 02:00 PST |
| 1.26 | CVE-2021-44832 に関する注記を追加しました。 | 概要 | Interim | 2022 年 1 月 7 日 12:00 PST |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。