ColdFusion での Log4j 2.17.0 の脆弱性について

注意:

2021年12月17日(PT)にリリースされた最新のアップデート 2018(アップデート 13)および 2021(アップデート 3)をインストールした後に、このテクニカルノートに記載の手順を適用します。

概要

2021年12月9日(PT)に、Apache log4j 2 で攻撃者によるリモートコード実行(RCE)が可能であったこと(CVE-2021-44228)が業界全体の問題として報告されました。これにより、ホストシステムへの不正アクセスが発生しました。この問題に対処した更新バージョン(v2.15.0)が、Apache Software Foundation から提供されました。

2021年12月14日(PT)に、JNDI 機能を使用するデフォルト以外の特定の設定が攻撃者に悪用されてリモートコード実行(RCE)の被害を受けやすくなる問題(CVE-2021-45046)が Apache log4j 2 v2.15.0 にあることが報告されました。また、v2.15.0 を適用したホストシステムは、サービス拒否(DoS)攻撃の被害も受けやすくなりました。Apache Software Foundation は、この固有の問題を解決するために、バージョン v2.16.0 をリリースしました。

アドビでは、これらの脆弱性に対処するため、アップデート 2018(アップデート 13)およびアップデート 2021(アップデート 3)を 2021年12月17日(PT)にリリースしました。

2021年12月18日(PT)には、Apache log4j 2 v2.16.0 に関して別の問題(CVE-2021-45105)が報告されました。自己参照ルックアップによる制御されていない再帰から保護されないというものでした。この結果、攻撃者がスレッドコンテキストマップデータを制御して、細工した文字列の解釈時にサービス拒否を発生させることができました。この問題は、Log4j 2.17.0 で修正されました。

アドビは、これらの脆弱性に対処するための緩和手順を 2021年12月21日(PT)に公開しました。

2021年12月28日に、Apache log4j 2 v2.17.0 に関して、リモートコード実行(RCE)攻撃に対する脆弱性の問題(CVE-2021-44832)が報告されました。攻撃者が対象の LDAP サーバーを掌握した場合、設定で JNDI LDAP データソース URI に対して JDBC Appender を使用すると、この問題が発生しました。Apache は、JNDI データソース名を java プロトコルに制限することによって、Log4j (2.17.1) の新バージョンをリリースすることによって解決されます。

Adobe ColdFusion ではこのライブラリを使用していますが、Adobe ColdFusion で悪用されるおそれのある攻撃ベクターやメカニズムは見つかっていません。

ベストプラクティスとしては、Log4j2 ライブラリをバージョン 2.17.1 にアップグレードすることをお勧めします。

注意: zip ファイルには、ColdFusion、Performance Monitoring Toolset および API Manager の更新済み JAR がすべてパッケージ化されています。

ColdFusion(2021 リリース)および ColdFusion(2018 リリース)

  1. ColdFusion インスタンスを終了します。

  2. <cf_root>\<cf_instance>\lib ディレクトリに移動します。

    次の JAR を削除します。

    • log4j-core-2.16.0.jar
    • log4j-api-2.16.0.jar
    • log4j-to-slf4j-2.16.0.jar

    次に、これらの代わりに、この zip ファイル log4j2.17.1(チェックサム:bd9d63d6fd90a4ffc3396b33110dc75d)にバンドルされている次の JAR を配置します。

    • log4j-core-2.17.1.jar,
    • log4j-api-2.17.1.jar
    • log4j-to-slf4j-2.17.1.jar
  3. ColdFusion インスタンスを再起動します。

  4. 他のすべての ColdFusion インスタンスについて、この手順を繰り返します。

Performance Monitoring Toolset 2021 および 2018

  1. Performance Monitoring Toolset の下記の最新アップデートを適用します。

  2. Performance Monitoring Toolset サービスとデータストアサービスを停止します。

  3. <PMT_Home>\lib ディレクトリに移動します。

  4. 次の JAR を削除します。

    • log4j-core-2.16.0.jar
    • log4j-api-2.16.0.jar

    次に、これらの代わりに、この zip ファイル log4j2.17.1(チェックサム:bd9d63d6fd90a4ffc3396b33110dc75d)にバンドルされている次の JAR を配置します。

    • log4j-core-2.17.1.jar,
    • log4j-api-2.17.1.jar
  5. <PMT_Home>\datastore\lib ディレクトリに移動します。

  6. 次の JAR を削除します。

    • log4j-core-2.16.0.jar
    • log4j-api-2.16.0.jar
    • log4j-1.2-api-2.16.0.jar

    次に、これらの代わりに、この zip ファイル log4j2.17.1(チェックサム:bd9d63d6fd90a4ffc3396b33110dc75d)にバンドルされている次の JAR を配置します。

    • log4j-core-2.17.1.jar
    • log4j-api-2.17.1.jar
    • log4j-1.2-api-2.17.1.jar
  7. Performance Monitoring Toolset サービスとデータストアサービスを再起動します。

API Manager 2021、2018 および 2016

  1. 最新のアップデートを適用するには、ColdFusion API Manager アップデートに記載の手順に従います。

  2. API Manager サーバーを停止します。

  3. <APIM_Home>\lib ディレクトリに移動します。

  4. 次の JAR を削除します。

    • log4j-core-2.16.0.jar
    • log4j-api-2.16.0.jar
    • log4j-slf4j-2.16.0.jar
    • log4j-jul-2.16.0.jar

    次に、これらの代わりに、この zip ファイル log4j2.17.1(チェックサム:bd9d63d6fd90a4ffc3396b33110dc75d)にバンドルされている次の JAR を配置します。

    • log4j-core-2.17.1.jar,
    • log4j-api-2.17.1.jar
    • log4j-slf4j-impl-2.17.1.jar
    • log4j-jul-2.17.1.jar
  5. API Manager を再起動します。

アドビのロゴ

アカウントにログイン