search cancel

Log4j2 の脆弱性 (CVE-2021-44228, CVE-2021-45046, CVE-2021-45105) に対する管理サーバーと LiveUpdate Administrator の緩和策について

book

Article ID: 230478

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

SYMSA19793 に記載されている緩和策を Symantec Endpoint Protection Manager (SEPM、管理サーバー) と LiveUpdate Administrator (LUA) で実施するための詳細な手順を知りたい。

Environment

  • SEPM バージョン 14.2 以上
  • LUA バージョン 2.3.8、2.3.9 

Resolution

Endpoint Protection Manager の緩和策

 

CVE-2021-44228 および CVE-2021-45046

これらの脆弱性に対応した SEPM 14.3 RU3 ビルド 5427 (14.3.5427.3000) を ダウンロード可能 です。このビルドの SEPM に 移行する ことを全てのお客様に推奨します。
すぐにアップグレードできない場合は、アップグレードが完了するまでの間、以下の手順で CVE-2021-44228 および CVE-2021-45046 を緩和することが可能です。参考: https://logging.apache.org/log4j/2.x/security.html

  1. <SEPM インストールフォルダ>\tomcat\lib に移動して log4j-core-*.jar ファイルを見つけます。
  2. log4j-core-*.jar を一時フォルダーにコピーし、さらに別の場所に 2 つ目のバックアップファイルを保存します。
  3. 一時フォルダにあるファイルを右クリックして [プロパティ] を選択し、[読み取り専用] のチェックボックスをはずします。
  4. log4j-core-*.jar の名前を log4j-core-*.jar.zip に変更します。これにより Windows のファイルエクスプローラー、7zip、WinRAR で開くことができるようになります。
  5. log4j-core-*.jar.zip を zip ユーティリティで開き(展開しないでください)、 org/apache/logging/log4j/core/lookup/JndiLookup.class を探して削除してください。
  6. zip ユーティリティを閉じて再度開き、JndiLookup.class が削除されていることを確認します。
  7. log4j-core-*.jar.zip から .zip 拡張子を削除します。
  8. Symantec Endpoint Protection Manager サービスと Symantec Endpoint Protection Manager API サービスを停止します。
  9. <SEPM インストールフォルダ>\tomcat\lib にある元の log4j-core-*.jar ファイルを、上記で変更したファイルで置き換えます。
  10. ファイルを右クリックして [プロパティ] を選択し [読み取り専用] にチェックを入れます。
  11. Symantec Endpoint Protection Manager サービスと Symantec Endpoint Protection Manager API サービスを開始します。

これらの手順を実行しても SEPM の機能に影響はありません。[Additional Information] セクションに記載されている手順でシステム変数を元に戻すことができます。

CVE-2021-45105

SEPM は影響を受けません。SEPM はどの jar でもコンテキスト検索を実行せず、影響を受けるログ設定も使用していません。

LiveUpdate Administrator の緩和策

 

CVE-2021-44228 および CVE-2021-45046

CVE-2021-44228 および CVE-2021-45046 に対応した log4j ビルド 2.16 を含む LUA 2.3.10 が ダウンロード可能 です。このビルドの LUA に移行することを全てのお客様に推奨します。

CVE-2021-45105

LUA は影響を受けません。LUA の log4J のロギング設定は Pattern Layout with Context Lookup を使用しません。

Additional Information

Symantec Security Advisory for Log4j 2 CVE-2021-44228 Vulnerability
Threat Alert: Apache Log4j RCE (CVE-2021-44228) aka Log4Shell

 

SEPM か LUA で以前の LOG4J_FORMAT_MSG_NO_LOOKUPS システム変数の緩和策を元に戻す手順は以下のとおりです。

  1. [システムのプロパティ] ウィンドウを開きます。
    • 管理者権限のコマンドプロンプトから SystemPropertiesAdvanced と入力して Enter キーを押します。
  2. [詳細設定] タブで [環境変数] ボタンをクリックします。
  3. [システム環境変数] セクションで LOG4J_FORMAT_MSG_NO_LOOKUPS システム関数を選択します。
  4. [削除] を選択します。
  5. [環境変数] ウィンドウで  [OK] をクリックし、 [システムのプロパティ] ウィンドウで [OK] をクリックします。
  6. アプリケーションのサービスを再起動します。
    • Symantec Endpoint Protection Manager

      • Symantec Endpoint Protection Manager

      • Symantec Endpoint Protection Manager API サービス

      • Symantec Endpoint Protection Manager Web サーバー

    • Live update Administrator

      • LUA Apache Tomcat

      • LUA PostgreSQL

         

[英語文書] Log4j2 vulnerability (CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105) mitigation steps for on-premises manager and LiveUpdate Administrator