{}

シュナイダーエレクトリックのブランド

0 ドキュメントのアイテム数:
0 ドキュメントのアイテム数:
JAPAN パートナーログイン パートナープログラムへの参加方法

  1. サポート
  2. FAQを参照する
  3. FAQ000230282

FAQを参照する

[セキュリティ情報] Apache Log4j脆弱性に関するPowerChute Business Editionへの影響とスクリプトによる対策について (2021年12月公開)

このページでは、2021年12月に公開されたApache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリApache Log4j脆弱性について、PowerChute Business Editionへの影響に対する緩和策のスクリプトの実行手順を以下の通りご案内します。



[ 重要な更新情報 ]

本脆弱性を回避したアップデートバージョン (v10.0.5) がリリースされています。

本ページで紹介する緩和策でなく、v10.0.5へアップデートいただくことを推奨します。

● PowerChute Business Edition v10.0.5へのアップデート
Club APC, Partner Club APCにアクセスし、表示されているv10.0.5をダウンロードしてください。
表示されていない場合にはアップデートの権限がありません。
アップデートにはライセンスの再購入が必要となります。
アップデートが必要な場合には、ご利用のUPS型番により製品型番をご選定ください。
PowerChute Business Edition型番一覧


[概要]
Apache Log4jで新たに発見されたゼロデイ脆弱性は悪用されるリスクがあり、攻撃者により任意のコマンドを実行される可能性があります。本脆弱性に対するエクスプロイトのリスクを回避するため、対象バージョンをお使いのユーザーは本ページで説明しているスクリプト使用による緩和策を適用するか、こちら で説明している手動での緩和策を実施してください。

[本脆弱性の影響を受ける製品とバージョン(v)]
PowerChute Business Edition v10.0、v10.0.1、v10.0.2、v10.0.3
*v9.x以前のバージョンは影響を受けません。

[緩和策]
PowerChute Business Editionが使用するJndiLookup クラスをスクリプトを使用してクラスパスから削除します。

注:スクリプトにはPowerChuteサービスの停止と起動の実行が含まれます。

Windows環境でのシステム条件
システムにインストールされているPowerShellバージョン3.0以降、および、.NET Frameworkバージョン4.5.0以降

注:システム条件での環境が利用できない場合は、こちら の7-Zipを使用したスクリプトを使用しない手順を参照してください。

スクリプトの実行手順
1.   Windows.zipファイルをPowerChuteがインストールされているマシンにコピーし、そのマシン上のフォルダーにファイルを解凍します。(ここでは c:\temp にコピーしたとします )
2.    管理者権限でコマンドプロンプトを開きます。
3.    ファイルを解凍したフォルダーに移動します。
上記1. で c:\temp コピーした場合は、次のコマンドを実行しフォルダーを次のように変更します。
cd  c:\temp
4.    以下のコマンドを実行します。
mitigate_log4shell.cmd
5.    スクリプトの実行後、"Log4Shell vulnerability is now mitigated." と表示されると完了です。

Linux 環境でのシステム条件
zip、unzip およびsedライブラリがターゲットシステムにインストールされている必要があります。これらは、Linuxオペレーティングシステムに応じて、yum、zypper、apt-getなどのパッケージマネージャーを使用してアプリケーションをインストールする必要があります。例として、RedHat Linuxでは以下のようにコマンドを実行します。
yum install unzip
yum install zip

スクリプトの実行手順
1.    Linux.zipファイルをPowerChuteがインストールされているマシンにコピーし、そのマシン上の任意のディレクトリにファイルを展開します。
2.    ターミナルプロンプトを開くか、SSH経由でPowerChuteマシンに接続します。
3.    ファイルを展開したディレクトリに変更し、rootユーザーとして、またはsudoを使用して以下を実行します。
chmod +x ./PCBE_Mitigate_Log4Shell.sh
./PCBE_Mitigate_Log4Shell.sh

プロンプトが表示されたら、Enterキーを押してPowerChuteがインストールされたディレクトリを選択します。または、インストールディレクトリ(「lib」を含むディレクトリ)へのパスを手動で入力することもできます。

4.    スクリプトの実行後、"Log4Shell vulnerability is now mitigated." と表示されると完了です。

注: JndiLookup.classがlog4j-coreから削除されたかを確認する方法については、こちら を参照してください。

-------------------------

【参考】

● PowerChute Business Edition v10.0.5へのアップデート
Club APC, Partner Club APCにアクセスし、表示されているv10.0.5をダウンロードしてください。
表示されていない場合にはアップデートの権限がありません。アップデートにはライセンスの再購入が必要となります。
アップデートが必要な場合には、ご利用のUPS型番により製品型番をご選定ください。
PowerChute Business Edition型番一覧

● PowerChute Business Editionライセンス購入
UPSをお買い求めいただいた販売店様にてご注文いただけます。
購入先がご不明の場合にはAPC製品を購入する より販売店様 もしくは オンラインショップへお問い合わせください。

公開先:APC 日本

添付

Linux.zipLinux.zip [3.24 KB]
Windows.zipWindows.zip [9.47 KB]
詳細を見る
製品群:
PowerChute Business Edition
詳細を見る
製品群:
PowerChute Business Edition

役立つ可能性のある記事

その他の記事を表示show more