【続々報】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-45105)について(SOS JobScheduler)

2021/12/18

Apache Log4jの任意のコード実行の脆弱性について、新たな脆弱性が発見されCVE-2021-45105として公開されました。

自己参照による制御不能な再帰から保護されていないことに起因し、Log4jの設定によっては影響を受けるサービス運用妨害攻撃の可能性を修正したlog4j 2.17が公開されています。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.17.0 (Java 8)
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.0

JobScheduler V.1.13.10以降では設定ファイルlog4j2.xmlのデフォルト設定を変えていない限り、CVE-2021-45105の影響を受ける可能性は低いと考えていますが、下記対応策が公開されましたのでご確認ください。

JOC-1188 Update log4j2 2.16.0 to 2.17.0 due to 3rd party vulnerability issue in log4j2 2.16.0 (CVE-2021-45105)
 https://change.sos-berlin.com/browse/JOC-1188?jql=text%20~%20%22log4j2%22

対応策:Log4jライブラリを対策済みの2.16/2.17に入れ替える

  • マスター
    • 1.13.3:以下ファイルを削除: 
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    •  1.13.9:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    •  1.13.10:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.16.0.jar
    • 1.13.3 – 1.13.9:以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.16.0.jar
        • log4j-core-2.17.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
    • 1.13.10:以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
  • エージェント
    • 1.13.3:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    • 1.13.9:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    • 1.13.10:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.16.0.jar
    • 1.13.3 – 1.13.9:以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
        • log4j-api-2.16.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
    • 1.13.10:以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
  • JOCコックピット