<続報>Apache Log4j の脆弱性 (CVE-2021-44228) に関する影響について

CVE-2021-44228

2021/12/16 投稿

Apache Software Foundation によって、Java のロギングライブラリ「Apache Log4j」に関するゼロデイ脆弱性 (CVE-2021-44228) が報告されていますが、PowerBuilder に関しましても Log4j に関連するファイルがインストールされます。

この脆弱性について Appeon 社により調査が実施され、その影響と対応策に関する情報が公開されました。

PowerBuilder Security Bulletin: Apache Log4j2 Vulnerability (CVE-2021-44228)

公開されている内容を日本語訳し以下にまとめました。正確な内容についてはリンク先の原文をご確認ください。


2021/12/17 追記

本問題について Appeon 社より PowerServer への影響に関する追加の情報が発表されました。この脆弱性に関連するファイルは PowerServer にも存在するため、対応が推奨されています。

対応方法については PowerBuilder とは異なりますのでご注意ください。

PowerServer Security Bulletin: Apache Log4j2 Vulnerability (CVE-2021-44228)

公開されている内容を日本語訳し以下にまとめました。正確な内容についてはリンク先の原文をご確認ください。

なお、その他の Appeon 製品 (InfoMaker、SnapDevelop、.NET DataStore、PowerScript Migrator) については Log4j を使用していないため影響はないと報告されています


2021/12/22 追記

PowerBuilder および PowerServer のセキュリティ情報について Appeon 社の記事に変更があったため、その内容を反映しました。

PowerBuilder への影響についてはバージョンごとに対象ファイルが格納されたフォルダーが明記され、PowerServer については PowerServer Toolkit への影響に関する内容が追加されています。


2022/1/20 追記

本脆弱性への対応が行われた PowerBuilder 2019 R3 日本語版 MR 2747 がリリースされました。この MR を適用することで、Log4j 関連ファイルが含まれる “Appeon\PowerBuilder 19.0\IDE\WEB-INF” フォルダーが削除されます。なお対象は PowerBuilder のみであり、PowerServer Toolkit については未対応です。


PowerBuilder Security Bulletin : Apache Log4j2 の脆弱性 (CVE-2021-44228)

概要

Appeon は、Apache Log4j Java ロギングフレームワークに関連して、最近公開されたセキュリティの脆弱性 CVE-2021-44228 を認識しています。この脆弱性により一部のプロトコルが安全でなくなり、リモートでコードが実行される可能性があります。

Appeon は直ちに調査を開始しました。このセキュリティ情報は、これまでの調査結果と PowerBuilder のお客様への推奨事項をまとめたものです。

 

どのバージョンの PowerBuilder に影響がある?

Appeon PowerBuilder 2017~2021 は、製品のエディションにかかわらず影響を受けます。

Appeon の調査結果は?

PowerBuilder インストールフォルダーには、Log4j のバージョン 1.2.8 が含まれています。これは、CVE-2021-44228 で影響を受けるバージョンにはリストされていません。ただし、この廃止されたバージョンには他のセキュリティの脆弱性が含まれている可能性があります。

\WEB-INF\lib フォルダーには “log4j-1.2.8.jar” が、 \WEB-INF\classes フォルダーには “log4j.properties” がそれぞれ含まれます。

Appeon はこれらのファイルに依存する、既に廃止された Java 機能をお客様が使用している場合に備えて、このような古いバージョンの Log4j を PowerBuilder のインストールに残しています。

対応方法は?

PowerBuilder 2017~2019 R2 をインストールしている場合は、インストールディレクトリにある下記の 2 つのファイルを直ちに削除してください。

  • Appeon\Shared\PowerBuilder\WEB-INF\lib フォルダー内の “log4j-1.2.8.jar” ファイル
  • Appeon\Shared\PowerBuilder\WEB-INF\classes フォルダー内の “log4j.properties” ファイル

PowerBuilder 2019 R3~2021 をインストールしている場合は、インストールディレクトリにある下記の 2 つのファイルを直ちに削除してください。

  • Appeon\PowerBuilder ##.0\IDE\WEB-INF\lib フォルダー内の “log4j-1.2.8.jar” ファイル
  • Appeon\PowerBuilder ##.0\IDE\WEB-INF\classes フォルダー内の “log4j.properties” ファイル

次に、貴社のセキュリティポリシーおよびプロセスに従って、システムが危険にさらされていないことを確認してください。

Log4j を必要とする廃止された PowerBuilder 機能を使用している場合は、できるだけ速やかにそれらの機能を移行する必要があります。

Appeon による対応は?

廃止された機能には、いかなる種類の修正/更新も施されません。そのため、Appeon は Log4j を新しいバージョンに更新することはありません。代わりに、Appeon は今後のすべての PowerBuilder リリース (メジャーリリース、リビジョン、および MR) で、 “log4j-1.2.8.jar” および “log4j.properties” の 2 つのファイルを削除する予定です。

ご質問がありますか?

このセキュリティ情報について質問がある場合は、Appeon Web サイトでサポートチケットを開いてください: https://www.appeon.com/standardsupport/newbug

(※ご質問については弊社でも承っております。不明点等ございましたら、本サイト最上部の「お問い合わせ」リンクよりお問い合わせください。)


PowerServer Security Bulletin : Apache Log4j2 の脆弱性 (CVE-2021-44228)

概要

Appeon は、Apache Log4j Java ロギングフレームワークに関連して、最近公開されたセキュリティの脆弱性 CVE-2021-44228 を認識しています。この脆弱性により一部のプロトコルが安全でなくなり、リモートでコードが実行される可能性があります。

Appeon は直ちに調査を開始しました。このセキュリティ情報は、これまでの調査結果と PowerServer のお客様への推奨事項をまとめたものです。

 

どのバージョンの PowerServer に影響がある?

PowerServerバージョン 2019 および 2020 への影響は次のとおりです。

  • PowerBuilder CloudPro 2017~2019 R3 にバンドルされている PowerServer Toolkit が影響を受けます。
  • PowerServer の Java サーバーランタイムのみが影響を受けます。.NET サーバーランタイムは Log4j を使用しません。

Appeon は、EOL バージョンのセキュリティ修正を調査ま​​たは提供しません。PowerServer 2017 以前を使用している場合は影響を受ける可能性もあります。

Appeon の調査結果は?

  • PowerServer Toolkit

    PowerServer Toolkit のインストールフォルダーには、\Toolkit\Java\Jdk1.8.0_66 ディレクトリの “ant” フォルダーが含まれ、 “ant” フォルダーには、 “ant-apache-log4j.jar” ファイルと “ant-apache-log4j.pom” ファイルが含まれます。ファイルは Log4j バージョン 1.2.X のものであり、CVE-2021-4428 に影響を受けるバージョンとしてリストされていませんが、他のセキュリティの脆弱性が含まれている可能性があります。

    \Toolkit\Java\Jdk1.8.0_66 ディレクトリの “ant” フォルダーは、Android アプリケーションパッケージ (APK) を生成するために古いバージョンの PowerServer Toolkit で使用されていました。 しかし、PowerServer パッケージツールは再設計されており、最新の PowerBuilder バージョンでは “ant” フォルダーを使用して Android APK ファイルを生成することはなくなりました。

  • PowerServer、Java サーバーランタイム

    PowerServer インストールフォルダーには、Log4j のバージョン 1.2.16 が含まれています。これは、CVE-2021-4428 で影響を受けるバージョンとしてリストされていませんが、他のセキュリティの脆弱性が含まれている可能性があります。

    PowerServer のインストール後、\appeon フォルダーには “appeonserver.ear” パッケージが含まれ、このパッケージのファイルの 1 つに “log4j-1.2.16.jar” があります。

    “appeonserver.ear” パッケージは、Java サーバーのデプロイメントフォルダーにデプロイされます。たとえば、Java サーバーが WildFly 12.0.0 の場合、 “appeonserver.ear” パッケージはフォルダー \wildfly-12.0.0\Standalone\deployments にデプロイされます。

    PowerServer のメインロギング機能は Log4j を使用しません。ただし、DBUpgrade.log や AEMLog.log など、一部の補助ログ機能は Log4j を使用します。

対応方法は?

次のように最新バージョンの PowerBuilder CloudPro をインストールして、PowerServer Toolkit をすみやかにアップグレードします。

ご利用のバージョン アップグレードするバージョン
PowerBuilder 英語版 2019 以前 2019 MR #2170、2019 R2、または 2019 R3
PowerBuilder 日本語版 2017 R3 以前 2017 R3 MR #1926 以降、または 2019 R3

PowerServer Toolkit をアップグレードした後、ディレクトリ \Toolkit\Java\Jdk1.8.0_66\ の “ant” フォルダーを削除します。

上記のバージョンにアップグレードできない場合は、ディレクトリ \Toolkit\Java\Jdk1.8.0_66\ant\lib から “ant-apache-log4j.jar” ファイルと “ant-apache-log4j.pom” ファイルをすみやかに削除してください。

貴社のセキュリティポリシーおよびプロセスに従って、システムが危険にさらされていないことを確認してください。

ファイアウォールの規則が強力であることを確認します。たとえば、不明な場所やネットワークからのアクセスを制限します。PowerServer アプリにインターネット経由でアクセスする必要がない場合は、サーバーへのすべてのインターネットアクセスを無効にします。

サポートチケットを開いて、Appeon ができるだけ早くセキュリティ修正を提供できるようにします。サポートチケットを開くときは、必ず PowerServer のバージョンとビルド番号を指定してください。

Appeon が提供するセキュリティ修正では、PowerServer 2020 または 2019 の最新ビルドを使用している必要があります。そのため、古いビルドを使用している場合は、現在利用可能な最新のビルドへのアップグレードプロセスをすぐに開始する必要があります。

PowerServer 2017 以前のバージョンを使用している場合は、すぐに PowerServer 2020 の最新ビルドへのアップグレードプロセスを開始してください。Appeon は、PowerServer 2017 などの EOL バージョンのセキュリティ修正を提供しません。

Appeon による対応は?

Appeonは、今後のすべての PowerServer Toolkit MR リリースで、\Toolkit\Java\Jdk1.8.0_66\ant フォルダーもしくは、少なくとも “ant-apache-log4j.jar” ファイルと “ant-apache-log4j.pom” ファイルを削除する予定です。

Appeon は、PowerServer 2020 および 2019 の最新ビルドから Log4j を削除するメンテナンスリリース (MR) をできるだけ早くリリースします。これにより、DBUpgrade.log や AEMLog.log などの補助ログ機能が無効になります。ただし、メインのロギング機能は引き続き以前と同じように機能します。お客様によって補助ログが使用される頻度が低いため、Appeon は補助ログを無効にすることを決定しました。これにより、セキュリティ修正を可能な限り迅速に提供できるようになります。

ご質問がありますか?

このセキュリティ情報について質問がある場合は、Appeon Web サイトでサポートチケットを開いてください: https://www.appeon.com/standardsupport/newbug

(※ご質問については弊社でも承っております。不明点等ございましたら、本サイト最上部の「お問い合わせ」リンクよりお問い合わせください。)

お知らせ 一覧を見る
PowerBuilder マイグレーション
PowerBuilderとは? ~デキる大人へ変身できる?ローコード開発ツール~