セキュリティアドバイザリ:Apache Log4j の CVE-2021-45105
| アドバイザリ ID: | appd-sa-log4j-cve-2021-45105 |
CVE-2021-45105 | |
| 初版: |
2021 年 12 月 20 日 13:00 PST | このページの内容: | |
| 最終更新日: |
2022 年 1 月 7 日 09:30 PST | ||
| バージョン 1.7: | Interim | ||
| 回避策: |
以下の製品固有の情報を参照してください。 | ||
| CVSSスコア: | Base 5.9 |
概要
2021 年 12 月 17 日、Apache から次のシビラティの高い脆弱性が開示されました。
- CVE-2021-45105: Apache Log4j2 バージョン 2.0-alpha1 から 2.16.0(2.12.3 を除く)は、自己参照ルックアップからの制御されない再帰から保護されなかった。この脆弱性により、スレッド コンテキスト マップ データの制御権を持つ攻撃者は、細工された文字列が解釈されたときにサービス妨害(DoS)を引き起こすことができます。
この CVE は後で中程度のシビラティにダウングレードされました。この脆弱性の詳しい説明については、「Apache Log4j Security Vulnerabilities」ページを参照してください。
このアドバイザリは、AppDynamics のお客様がオンプレミスで使用し、適宜アクションを実行する必要がある製品に対処することを目的としています。
AppDynamics の SaaS プラットフォームは継続的に監視され、改善されています。この脆弱性が SaaS のお客様に影響を与える場合は、標準規格のサポートチャネルを通じてお客様に直接ご連絡します。SaaS レスポンスに関するこれ以上の追加情報は、ここに記載される予定はありません。
このアドバイザリは、次のリンクで入手できます。「Security Advisory: CVE-2021-45105 in Apache Log4j」
2.16 より前の Log4j バージョンの脆弱性(特に CVE-2021-44228 および CVE-2021-45046)が AppDynamics 製品にどのような影響を与えるかについては、「Security Advisory: Apache Log4j Vulnerability」を参照してください
2021 年 12 月 27 日、Apache は、Log4j の特定のバージョン(2.17 まで)に影響する新しい中程度のシビラティの Log4j 脆弱性(CVE-2021-44832)を公開しました。CVE-2021-44832 はシビラティが中程度の脆弱性ですが、AppDynamics では Log4j 2.17.1 を含むリリースを優先しています。
Log4j 2.17.1 を含む製品にアップグレードするお客様は、以下の製品固有の情報を参照できます。
その他のシスコ製品に関する質問については、「Cisco Public Advisory」を参照してください。
影響を受ける製品
調査中の製品
現在、調査中の製品はありません。AppDynamics はこの状況を引き続き監視し、情報が利用可能になった時点でこのドキュメントを更新します。
脆弱性が存在する製品
Apache Webサーバーエージェント
このエージェントの全バージョンに付属するデフォルトの Log4j 構成は、エージェントにコンテキストルックアップを含むパターンが含まれていないため、この CVE に対して脆弱ではありません。デフォルト設定を変更していないお客様は、この脆弱性のリスクにさらされません。
Log4j 2.17 を使用するエージェントをデプロイしたいお客様は、バージョン 21.12.3 にアップグレードできます。
Log4j 2.17.1 を使用するエージェントをデプロイしたいお客様は、バージョン 22.1.0 にアップグレードできます。
データベースエージェント
21.12.2 より前のバージョンは、この CVE に対して脆弱である可能性があります。バージョン 21.12.2 には、Log4j の 2.17 へのアップグレードが含まれています。
AppDynamics では、バージョン 21.12.2(以降)にアップグレードすることを推奨しています。
Log4j 2.17.1 を使用するエージェントをデプロイしたいお客様は、バージョン 21.12.4 にアップグレードできます。
Enterprise Console / コントローラ(オンプレミス)
オンプレミスの Enterprise Console/コントローラには、Java エージェントが含まれています。Enterprise Console 21.4.10 に含まれる Java エージェントは、エージェントがコンテキストルックアップを含むパターンを含まないため、この CVE に対して脆弱ではありません。デフォルト設定を変更していないお客様は、この脆弱性のリスクにさらされません。
log4j 2.17 で Java エージェントをデプロイしたいお客様は、コントローラの Java エージェントを修正済みリリースにアップグレードできます。以下の「Java エージェント」を参照し、詳細な手順については、シスコのドキュメントの「Upgrade the Java Agent」を参照してください。コントローラの Java エージェントは、次のディレクトリにインストールされます。
<controller-directory>/appserver/glassfish/domains/domain1/appagent
Javaエージェント
Java エージェントのすべてのバージョンに付属するデフォルトの Log4j 構成は、エージェントにコンテキストルックアップを含むパターンが含まれていないため、この CVE に対して脆弱ではありません。デフォルト設定を変更していないお客様は、この脆弱性のリスクにさらされません。
Log4j 2.17 を使用するエージェントをデプロイしたいお客様は、バージョン 21.11.3 にアップグレードできます。
Log4j 2.17.1 または Log4j 2.12.4(JDK 7 バージョン用)を使用するエージェントをデプロイしたいお客様は、バージョン 21.11.4 にアップグレードできます。
マシンエージェント
マシンエージェントは、エージェントがコンテキストルックアップを含むパターンを含まないため、この CVE に対して脆弱ではありません。
Log4j 2.17 を使用するエージェントをデプロイしたいお客様は、バージョン 21.12.4 にアップグレードできます。
Log4j 2.17.1 を使用するエージェントをデプロイしたいお客様は、バージョン 21.12.5 にアップグレードできます。
マシンエージェントの拡張機能
バージョン
2.0.2 より前の CA Siteminder 拡張機能(ca-siteminder-monitoring-extension)は、この CVE に対して脆弱です。AppDynamics では、GitHubリポジトリ(https://github.com/Appdynamics/ca-siteminder-monitoring-extension)からバージョン 2.0.2(以降)を取得することを推奨しています。
Node.jsエージェント
次の理由により、このエージェントに付属しているデフォルトの Log4j 構成は、この CVE に対して脆弱ではありません。
- Java プロキシがデフォルトで有効になっていない(バージョン 4.5.16 以降)。
- Java プロキシのデフォルト設定では、コンテキストルックアップを含むパターンは含まれていない。デフォルト設定を変更していないお客様は、この脆弱性のリスクにさらされません。
Java プロキシが有効になっている Node.js エージェントを実行しているお客様は、無効化することができます。
- Node.js バージョン 4.5.16 以降:エージェント設定から "proxy:true" を削除します。
- 4.5.16 より前の Node.js バージョン:エージェント設定で "libagent:true" を設定します。
PHPエージェント
このエージェントの全バージョンに付属するデフォルトの Log4j 構成は、エージェントにコンテキストルックアップを含むパターンが含まれていないため、この CVE に対してis not vulnerable。デフォルト設定を変更していないお客様は、この脆弱性のリスクにさらされません。
Log4j 2.17 を使用するエージェントをデプロイしたいお客様は、バージョン 21.12.2 にアップグレードできます。
Log4j 2.17.1 を使用するエージェントをデプロイしたいお客様は、バージョン 22.1.0 にアップグレードできます。
Pythonエージェント
このエージェントの全バージョンに付属するデフォルトの Log4j 構成は、エージェントにコンテキストルックアップを含むパターンが含まれていないため、この CVE に対して脆弱ではありません。デフォルト設定を変更していないお客様は、この脆弱性のリスクにさらされません。
Log4j 2.17 を使用するエージェントをデプロイしたいお客様は、バージョン 21.12.2 にアップグレードできます。
Log4j 2.17.1 を使用するエージェントをデプロイしたいお客様は、バージョン 22.1.0 にアップグレードできます。
ServiceNow ユーティリティ(AppDynamics CMDB 統合)
21.12.2 より前のバージョンは、この CVE に対して脆弱である可能性があります。バージョン 21.12.2 には、Log4j の 2.17 へのアップグレードが含まれています。
AppDynamics では、バージョン 21.12.2(以降)にアップグレードすることを推奨しています。
脆弱性がないことが確認された製品
AppDynamics は、以下の製品がこの脆弱性の影響を受けていないことを確認しました。
- .NETエージェント
- ABAP エージェント(SAP ABAP モニタリング)
- 分析エージェント
- ブラウザ リアル ユーザー モニタリング(BRUM)
- C/C++ SDK エージェント
- クラスタエージェント
- EUM GeoServer
-
EUM サーバー
-
イベントサービス(オンプレミス)
-
Go Language SDK エージェント
-
IBM Integration Bus(IIB)エージェント
- IoT デバイス SDK(C/C++、Java、REST API)
- モバイル RUM エージェント
- ネットワークエージェント
-
Ruby エージェント
-
合成プライベートエージェント(Linux ベース)
-
合成プライベートエージェント(Windows ベース)
-
合成サーバー
この脆弱性に関するパッチが適用された製品の一覧については、後述の「修正済みリリース」を参照してください。
追加のサポートが必要な場合
修復手順に関する追加のアドバイスが必要な場合は、シスコの CX チームが支援します。ご不明な点がございましたら、こちらから弊社チームとのミーティングをご予約の上、お問い合わせください。
回避策
いずれかの製品に固有の緩和策については、上記の「脆弱性が存在する製品」のセクションで概説しています。
修正済みソフトウェア
シスコの AppDynamics は、このアドバイザリに記載された脆弱性に対処するソフトウェアアップデートをリリースしました。お客様がインストールしたり、サポートを受けたりできるのは、最新のライセンスを保持し、有効なサポートとメンテナンス契約を持つソフトウェアバージョンとフィーチャセットのみです。当該のソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は AppDynamics のライセンス条項に従うことに同意したことになります。セキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェアライセンスや追加のソフトウェア フィーチャ セットに対する権限が付与されることはありません。
最新のライセンスを持ち、有効なサポートおよびメンテナンス契約をお持ちのお客様は、既存の AppDynamics 配信サーバー ダウンロード アカウントからソフトウェアの修正バージョンをダウンロードできます。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。情報が明確でない場合は、AppDynamics Support システムでサポートチケットを開くことをお勧めします。
固定リリース
この脆弱性は、次のリリースで修正されています。AppDynamics ダウンロードポータル(https://download.appdynamics.com)を参照してください。
- Apache Web サーバーエージェント 21.12.3(バージョン 22.1.0 には log4j 2.17.1 が含まれます)
- データベースエージェント 21.12.2(バージョン 21.12.4 には log4j 2.17.1 が含まれます)
- Java エージェント JDK 8+ 21.11.3(バージョン 21.11.4 には log4j 2.17.1 が含まれます)
- Java エージェントレガシー:IBM JVM 21.11.3(バージョン 21.11.4 には log4j 2.12.4 が含まれます)
- Java エージェントレガシー:Sun および JRockit 21.11.3(バージョン 21.11.4 には log4j 2.12.4 が含まれます)
- マシンエージェント 21.12.4(バージョン 21.12.5 には log4j 2.17.1 が含まれます)
- PHP エージェント 2.12.2(バージョン 22.1.0 には log4j 2.17.1 が含まれます)
- Python エージェント 21.12.2(バージョン 22.1.0 には log4j 2.17.1 が含まれます)
- ServiceNow ユーティリティ(AppDynamics CMDB 統合)21.12.2
修正済みのリリースにアップグレードできないお客様は、上記の「脆弱な製品」セクションに概説されている緩和手順を実装する必要があります。
不正利用事例と公式発表
AppDynamics では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
ソース
CVE-2021-45105:この脆弱性は、2021 年 12 月 17 日の Apache Log4j のセキュリティ脆弱性に関する発表で公開されました。
CVE-2021-44832:この脆弱性は、2021 年 12 月 28 日の Apache Log4j のセキュリティ脆弱性に関する発表で公開されました。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Interim |
2021 年 12 月 20 日 13:00 PST |
| 1.1 | 合成プライベート エージェント バージョンに関する説明。 | 脆弱性がない製品 | Interim | 2021 年 12 月 21 日 02:00 PST |
| 1.2 | データベースエージェントと Python エージェント、およびマシンエージェントの拡張機能に関するガイダンスを更新。 | 影響を受ける製品 | Interim | 2021 年 12 月 21 日 03:00 PST |
| 1.3 | より多くのエージェントと Enterprise Console に関する情報を追加しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 21 日 10:00 PST |
| 1.4 | Apache、PHP、および Python エージェントの新しいリリースバージョンが修正されました。 | 影響を受ける製品 | Interim | 2021 年 12 月 21 日 14:00 PST |
| 1.5 | マシンエージェントに関する新しい情報を追加しました。 | 影響を受ける製品 | Interim | 2021 年 12 月 21 日 15:30 PST |
| 1.6 | CVE-2021-44832 に関する説明を追加しました。 | 概要 | Interim | 2022 年 1 月 7 日 00:30 PST |
| 1.7 | log4j 2.17.1 を使用する製品に関する情報を追加しました。 | 概要、影響を受ける製品 | Interim | 2022 年 1 月 7 日 09:30 PST |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。