アーティクル - CS359319
Apache Log4J 1.xセキュリティの脆弱性(CVE-2021-4104&CVE-2019-17571)–Servigistics製品への影響
修正日: 20-Dec-2021
適用対象
- Servigistics Service Parts Management 9.3 to 12.2.0.1
- Servigistics Click Parts Planning 5.10 to 7.7.2.1
- Servigistics Service Parts Pricing 9.3 to 12.2.0.1
- Servigistics Intellicus 7.3 to 19.1
- Servigistics MCA Parts Planning 7.0 to 8.0.0.11
- Servigistics Click Extend 4.1
- Servigistics Service Network Management 10.7.1.1 to 11.2
説明
Apache Log4j1.xに対して複数のCVEが報告されています。サポート対象外であることがわかっているため、Servigistics製品への既知の影響を確認するために分析と正当化が提供されます。
上記の[適用先]領域で指定された製品リリースには、すべてlog4j1.xバージョンが含まれています
CVE-2021-4104:
Log4j 1.xでは、log4jの構成ファイルでJMSAppenderが有効になっている場合、JMSAppenderはJNDIルックアップを実行します。 Log4j 1.xを使用するアプリケーションは、構成でJNDI(JMSAppender)を使用すると影響を受ける可能性があります。
基本CVSSスコア:8.1 CVSS:3.1 / AV:N / AC:H / PR:N / UI:N / S:U / C:H / I:H / A:H
Red HatはRHSB-2021-009( CVE-2021-4104 )を識別しました
https://access.redhat.com/security/cve/CVE-2021-4104
Redhat Bugzillaの記事には、追加の詳細が含まれています。
バージョン1.xのJavaロギングライブラリApacheLog4jに欠陥が見つかりました。これにより、デプロイされたアプリケーションがJMSAppenderを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できるようになります。
この問題は、JMSAppenderを使用するように特別に構成されている場合にのみLog4j 1.xに影響することに注意してください。これは、Servigistics製品のデフォルトではありません。
潜在的なエクスプロイトに対処するための既知の緩和オプションは次のとおりです。
Apache Log4j 2.xセキュリティの脆弱性(CVE-2021-44228&CVE-2021-45046&CVE-2021-45105)-Servigistics製品への影響
CVE-2019-17571:
上記の[適用先]領域で指定された製品リリースには、すべてlog4j1.xバージョンが含まれています
CVE-2021-4104:
Log4j 1.xでは、log4jの構成ファイルでJMSAppenderが有効になっている場合、JMSAppenderはJNDIルックアップを実行します。 Log4j 1.xを使用するアプリケーションは、構成でJNDI(JMSAppender)を使用すると影響を受ける可能性があります。
基本CVSSスコア:8.1 CVSS:3.1 / AV:N / AC:H / PR:N / UI:N / S:U / C:H / I:H / A:H
Red HatはRHSB-2021-009( CVE-2021-4104 )を識別しました
https://access.redhat.com/security/cve/CVE-2021-4104
Redhat Bugzillaの記事には、追加の詳細が含まれています。
バージョン1.xのJavaロギングライブラリApacheLog4jに欠陥が見つかりました。これにより、デプロイされたアプリケーションがJMSAppenderを使用するように構成されている場合、リモートの攻撃者がサーバー上でコードを実行できるようになります。
この問題は、JMSAppenderを使用するように特別に構成されている場合にのみLog4j 1.xに影響することに注意してください。これは、Servigistics製品のデフォルトではありません。
潜在的なエクスプロイトに対処するための既知の緩和オプションは次のとおりです。
- Log4j構成でJMSAppenderを使用している場合は、コメントアウトまたは削除します
- クラスパスからJMSAppenderクラスを削除します
- 攻撃者によるLog4j構成の変更を防ぐために、アプリケーションを実行しているプラットフォーム上のOSユーザーのアクセスを制限します。
Apache Log4j 2.xセキュリティの脆弱性(CVE-2021-44228&CVE-2021-45046&CVE-2021-45105)-Servigistics製品への影響
CVE-2019-17571:
- CVE-2019-17571の脆弱性の説明に記載されているlog4j1.xの脆弱なバージョンは、ServigisticsProductsによって使用されています。
- SocketServer / SimpleSocketServerの脆弱なクラスの使用法は、LogingEventオブジェクトをリモートのログサーバー(通常はSocketNode)に送信するLog4JのSocketAppenderの機能として明らかになります。 SocketNodeは、ソケット(TCP)を使用してリモートクライアントから送信されたLoggingEventオブジェクトを読み取ります。これらのログイベントは、ローカルで生成されたかのように、ローカルポリシーに従ってログに記録されます。 SocketAppendersは、サーバー側にレイアウトなしでシリアル化されたLoggingEventオブジェクトを出荷します。リモートホストでは、逆シリアル化することにより、すべて同じ情報にアクセスでき、ログが印刷されるレイアウトを指定できるはずです。
- SocketServerクラス(脆弱性が存在する場合)を介してリモートログにアクセスするlog4j機能は、Servigistics Products OOTBでは有効になっておらず、Servigisticsコードベースからのそのような呼び出しはありません。さらに、機能の有効化/実行について言及しているServigisticsのドキュメントはありません。
最新バージョンはこちらを参照ください CS359319