カテゴリー: Uncategorized

投稿日:

Apache Log4jのRCE(リモートコード実行の脆弱性)(CVE-2021-44832)について(SOS JobScheduler)

2021/12/29

Apache Log4jのRCE(リモートコード実行)の脆弱性について、新たな脆弱性が発見されCVE-2021-44832として公開されています。

Apache Log4j2 バージョン 2.0-beta7 から 2.17.0 (セキュリティフィックスリリース 2.3.2 と 2.12.4 を除く) には、リモートコード実行 (RCE) 攻撃の脆弱性があり、ロギング設定ファイルを変更する権限を持つ攻撃者が、JNDI URI を参照するデータソースを使って JDBC Appender で不正な設定を行い、リモートコードを実行できるようになってしまいます。この問題は、Log4j2 のバージョン 2.17.1, 2.12.4, 2.3.2 において、JNDI データソース名を java プロトコルに制限することで修正されます。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.17.1 (Java 8)
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.1

JobScheduler V.1.13.10, V.2.2.0以降では設定ファイルlog4j2.xmlのデフォルト設定から、JDBC Appenderを使用するよう変更していない限り、CVE-2021-42832の影響を受ける可能性はないと考えていますが、下記が公開されましたのでご確認ください。

Update log4j2 2.17.1 to 2.17.1 due to 3rd party vulnerability issue in log4j2 2.17.0 (CVE-2021-44832)

https://change.sos-berlin.com/browse/JOC-1192?src=confmacro

 

投稿日:

【続々報】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-45105)について(SOS JobScheduler)

2021/12/18

Apache Log4jの任意のコード実行の脆弱性について、新たな脆弱性が発見されCVE-2021-45105として公開されました。

自己参照による制御不能な再帰から保護されていないことに起因し、Log4jの設定によっては影響を受けるサービス運用妨害攻撃の可能性を修正したlog4j 2.17が公開されています。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.17.0 (Java 8)
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.0

JobScheduler V.1.13.10以降では設定ファイルlog4j2.xmlのデフォルト設定を変えていない限り、CVE-2021-45105の影響を受ける可能性は低いと考えていますが、下記対応策が公開されましたのでご確認ください。

JOC-1188 Update log4j2 2.16.0 to 2.17.0 due to 3rd party vulnerability issue in log4j2 2.16.0 (CVE-2021-45105)
 https://change.sos-berlin.com/browse/JOC-1188?jql=text%20~%20%22log4j2%22

対応策:Log4jライブラリを対策済みの2.16/2.17に入れ替える

  • マスター
    • 1.13.3:以下ファイルを削除: 
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    •  1.13.9:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    •  1.13.10:以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.16.0.jar
    • 1.13.3 - 1.13.9:以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.16.0.jar
        • log4j-core-2.17.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
    • 1.13.10:以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
  • エージェント
    • 1.13.3:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    • 1.13.9:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    • 1.13.10:以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.16.0.jar
    • 1.13.3 - 1.13.9:以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
        • log4j-api-2.16.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
    • 1.13.10:以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-core-2.17.0.jar
  • JOCコックピット
投稿日:

【続報】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)について(SOS JobScheduler)

2021/12/16 更新

JPCERT/CCよりApache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起が更新されCVE-2021-45046について追記されました。

特定の構成において不正なJNDI検索パターンを入力値とする場合にサービス運用妨害(DoS)が生じる可能性があることが判明し、Message Lookup機能が削除され、JNDIへのアクセスがデフォルトで無効になりました。この問題にはCVE-2021-45046が採番されています

llog4j 2.15及び下記対策は不完全であり、log4j 2.16へのアップデートが推奨されています。
(1)Log4jを実行するJava仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定する 例: -Dlog4j2.formatMsgNoLookups=true
(2)環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する。

JobSchedulerの回避策も更新されましたので、以下をご確認ください。
https://change.sos-berlin.com/browse/JOC-1184

https://change.sos-berlin.com/browse/JOC-1186

2021/12/14

SOS社では現在上記修正版を含んだ緊急リリース(V.1.13.10, V.2.2.0)を作成中であり、2021/12/24に公開予定です。
回避策が更新されましたので、以下をご参照ください。
https://change.sos-berlin.com/browse/JOC-1184

2021/12/16 更新

以下の対策は不完全であるため、log4j 2.16へのアップデートが推奨されています。

V.1.13系について回避策には以下の2通りの方法があります。JS7については上記リンクをご参照ください。

(1)Log4jを実行するJava仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定する

例: -Dlog4j2.formatMsgNoLookups=true

  • マスター:SCHEDULER_DATA/config/factory.iniを編集し
[java]
options =に、-Dlog4j2.formatMsgNoLookups=true を追加してマスター再起動

再起動後にscheduler.logのJava options: に[-Dlog4j2.formatMsgNoLookups=true]が表示されればOK

  • エージェント:一旦停止し、
$ SCHEDULER_HOME/bin/agent_<port>.sh | .cmd   start -java-options=-Dlog4j2.formatMsgNoLookups=true

で再起動、systemd service などで自動起動設定している場合は、ExecStart=のコマンドに-java-options=-Dlog4j2.formatMsgNoLookups=trueを追加して、サービスリスタート

  • JOCコックピット:
Linuxの場合/etc/default/joc、
Windowsの場合 、レジストリ
HKLM\SOFTWARE\WOW6432Node\Apache Software Foundation\Procrun 2.0\sos_joc\Parameters\Java

を編集し、JAVA_OPTIONS=に-Dlog4j2.formatMsgNoLookups=trueを追加して、サービス再起動

参考:https://kb.sos-berlin.com/display/PKB/JOC+Cockpit+-+Installation#JOCCockpit-Installation-JavaOptionsforJetty

(2)Log4jライブラリを対策済みの2.16に入れ替える

  • マスター
    • 1.13.3
    • 以下ファイルを削除: 
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8
    • 以下ファイルを削除:  
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    •  1.13.9
    • 以下ファイルを削除:  
      • CHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    • 全バージョン
    • 以下ファイルをコピー: 
      •  SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.16.0.jar
        • log4j-core-2.16.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
  • エージェント
    • 1.13.3
    • 以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.0.jar
        • log4j-core-2.13.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.0.jar
    • 1.13.4 to 1.13.8
    • 以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.13.2.jar
        • log4j-core-2.13.2.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.13.2.jar
    • 1.13.9
    • 以下ファイルを削除:   
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.14.0.jar
        • log4j-core-2.14.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.14.0.jar
    • 全バージョン
    • 以下ファイルをコピー:
      • SCHEDULER_HOME/lib/3rd-party
        • log4j-api-2.16.0.jar
        • log4j-core-2.16.0.jar
      • SCHEDULER_HOME/lib/log/log4j
        • log4j-slf4j-impl-2.16.0.jar
  • JOCコックピット
投稿日:

【注意喚起】Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)について(SOS JobScheduler)

2021/12/11 JPCERT/CCよりApache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起が発表されています。
脆弱性の詳細については、以下をご参照ください。
https://www.jpcert.or.jp/at/2021/at210050.html?fbclid=IwAR3C6fagYLZiE7WGEbl8_Y6EB_i_5D7BLdSKUAHQnDnoSXFveRHx6apEO1w

対象となるバージョンは、Apache Log4j 2.15.0より前の2系のバージョンであり、旧1系は含まれていません。
SOS JobSchedulerでは以下のバージョンが上記対象ライブラリを含んでいます。
V.1.12.12〜V.1.12.14
V.1.13.3〜V.1.13.9
V.2.0.0〜V.2.1.1

対策
The Apache Software Foundationから本脆弱性を修正したApache Log4j V.2.15.0が公開されています。
SOS社では現在上記修正版を含んだ緊急リリース(V.1.13.10, V.2.2.0)及びパッチを作成中であり、2021/12/24に公開予定です。
回避策については、以下をご参照ください。
https://change.sos-berlin.com/browse/JOC-1184

JobSchedulerは問題のあるlog4jのLDAP JNDI perserと呼ばれる機能は使用しておりませんが、バージョンアップや回避策の適用などの実施を検討することを推奨します。

投稿日:

【注意喚起】【バージョンアップ】メンテナンス作業のお知らせ (2021年8月xx日x曜日)と記載された不正なメールについて

先日より、弊社を騙ったメールアドレスから不特定多数のメールアドレス宛てに、迷惑メールが送信されていることを確認いたしましたが、こちらは弊社からお送りしたメールではございません。
本文内のURLのクリックなどはせずにメールを削除くださいますようお願いいたします。
 
■メール例
※安全のため、アドレスhttpの箇所は変更しています。
 
***********************************************
 件名:【バージョンアップ】メンテナンス作業のお知らせ (2021年8月26日木曜日)
 本文:

お客さま各位 

                   2021年8月26日木曜日 
                   



平素は 【Ossl】 インターネットサービスをご利用いただき誠にありがとうございます。

サーバーのメンテナンスを実施しています。

サービスの詳細は以下のURLをご参照ください。

http ;//ossl.co.jp.punjabifilm.in/?uid=**********

 今後もよりよいサービスをお客様に提供できるよう専心努力してまいります。 
 引き続き変わらぬご愛顧を賜りますようお願い申し上げます 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
Ossl お客さまサービスセンター 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
●よくあるご質問| https ;//faq.ossl.co.jp/*******
●サポートサイト| https ;//www.ossl.co.jp/**********
●お問い合わせ| https ;//form.ossl.co.jp/DOMS/**********
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
サービスに関するご意見・ご要望をお寄せください 
 ≪投稿フォーム≫ https ;//form.ossl.co.jp/brand/voice/ ***********
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 
Ossl グローバルサイン・HD 公式FaceBook :  https ;//www.facebook.com/***********
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

投稿日:

Cloud Operator Days Tokyo 2021(CODT2021)にゴールドスポンサーとして参加

クラウドインフラ運用技術者のための年次カンファレンスイベント「Cloud Operator Days Tokyo 2021(CODT2021)」が開催されています。今回のテーマは「運用者に光を」。参加は無料。CODTは、もともとOpenStack Days Tokyoの名前で開催されていたイベントの後継で、2020年よりCloud Operator Days Tokyoとなりました。

 CODT2021は、通常のセッションを7月14日から6週間、オンデマンド配信する形式をとります。

 そして8月27日には、CODT2021の締めくくりとして、ライブ配信形式のイベントを開催し、基調講演と、パネルディスカッション、そしてセッションの中から選考する「輝け! クラウドオペレーターアワード2021」の授賞式が行われる予定です。

弊社はゴールドスポンサーとして参加し、「OSSジョブ管理ツールの定番JobSchedulerの最新版JS7®のご紹介」も配信されますので、是非ご覧になってください!

投稿日:

オープンソースコンファレンス2019.Enterprise出展

今年もOSCに出展し、セミナーに登壇します。
https://www.ospn.jp/osc2019.enterprise/
13F-Aで15:15-16:00

OSS構成管理ツール「CMDBuild」を中心としたハイブリッドクラウド自動化基盤「OpenPIE 2」の事例紹介

今年も渋谷ですが、ビルが変わっているのでご注意ください。

日程:2019年10月10日(木) 10:00-18:00 (展示は10:45-17:00)

会場AP渋谷道玄坂渋東シネタワー 【OSC受付13F】
 [アクセスマップ] (JR渋谷駅 ハチ公改札口より徒歩約1分) 
   ※映画館「TOHOシネマズ」を目印にお越しください
   (映画館とは入り口が異なりますご注意ください)>>入り口位置関係マップ

投稿日:

謹賀新年

あけましておめでとうございます。

昨年はおかげさまでOpnePIEの導入が拡がり、お客様データセンター運用の進化をお手伝いさせていただくことができました。

今年は更なるチャレンジをしていきたいと思いますので、何卒よろしくお願い申し上げます。

代表取締役 船井 覚

投稿日:

CMDBuild 2.5リリース

ITIL準拠のOSS IT構成管理システムCMDBuildの最新版V.2.5が公開されました。

V.2.5ではエンタープライズ向けの以下の機能がさらに強化されました。

1)クラスタモードをサポート

ロードバランサによって制御される複数の独立したCMDBuildのTomcat(アプリケーション・サーバー)ノードをクラスタリングすることができます。

  • システムの可用性(ノードが応答を停止した場合、アクティブ・ノードはユーザーにとって透過的な方法でノードを提供します)
  • スケールアウト(要求が同時ユーザー数が多い場合に、より速い応答時間で、複数のノードに分散されています)

 

2)強化された認証管理

データ処理のセキュリティと個人データの機密性(新GPR(一般データ保護規制 - EU規制2016/679)を含む)に関する法律は、不正アクセスの問題に大きな注意を払う必要があります。

このような観点から、新しいパスワード管理機能を次のように統合しました。

  • 有効期限を指定する
  • 設定可能な進捗状況を示す有効期限通知メールを送信する
  • 最小長、大文字/小文字/文字の存在などの合成ルールを定義する
  • 以前のパスワードとユーザ名が異なることを確認してください

パスワードの有効期限が切れている場合は、カスタマイズ可能なメッセージが表示され、新しいパスワードを入力するページにリダイレクトされます。

 

 

3)GISリファクタリング

CMDBuildで利用できるGISサーバーオブジェクトが改良され、マップ上に表示は徐々にロードされ、必要に応じてメモリを解放します。

これにより実行時間が短縮され、システムはほぼ無限の量のオブジェクトで動作します。

データナビゲーション(選択されたオブジェクトレベルでの自動シフト、同じ建物内で別のものが選択されている場合はプランの自動シャットダウン)、および管理者がフィルタを設定できるようにするなど、他の改良も実装されています。

4)新しいタスクタイプのタスクマネージャ拡張

管理モジュールで設定可能なCMDBuildタスクマネージャには、添付されたレポートによる自動メール配信のスケジュール設定に使用できる新しいタイプのタスクが追加されました。

構成ウィザードを使用して、メール受信者、作成するテンプレート、スケジューリング基準、レポートパラメータの計算のためのコンテキスト変数の定義、これらのパラメータの静的または有用値の指定ができます。たとえば、タスクマネージャによって自動的に計算されたタスクが実行された時点から、依存する内容のレポートを送信することができます。

5)IFC4フォーマットと3DビジュアリゼーションをサポートするためのBIM機能のアップグレード

CMDBuildは、IFC4標準サポートを統合したBIMserver(1.5.x)の最新バージョンをサポートするようになりました

新しいバージョンでは、3Dビューアは完全に書き直され、現在はbimview.wsプロジェクトに基づいています。

したがって、表示された建物のより現実的なレンダリングが利用可能になりました。

 

 

 

 

6)ブラウザ応答速度の改善

CMDBuildのユーザーインターフェイスの構成されたJavaScriptファイルの数(数百)は、徐々に最初のアプリケーションアクセスの開始時間を増加しましたが、javascriptファイルを圧縮してロードする追加のモジュール(mod_gzip、mod_deflate)を介して転送をさらに最適化しました。

変更の完全なリストについては、changelogを参照してください  。