このページでは、2021年12月に公開されたApache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリApache Log4j脆弱性について
CVE-2021-44228及びCVE-2021-45046にて報告されている当社PowerChute Network Shutdownへの影響とその対策を以下の通りご案内します。

本ページの説明は新しい情報があり次第、更新されます。
なお、本ページは、シュナイダーエレクトリックの グローバルWEBサイト を基に公開しています。
・ 最新情報を確認したい場合はグローバルWEBサイトを参照ください。
・ CVE-2021-45105、CVE-2021-4104、CVE-2021-44832に関する脆弱性については影響ありません。

---

(重要な更新情報)
本脆弱性に関する修正プログラムが提供されています。

[セキュリティ情報] PowerChute Network Shutdown v4.3/v4.4のApache Log4j脆弱性に対する修正プログラム (2022年2月公開)
本ページで紹介する緩和策ではなく、
上記ページの修正プログラムを適用することを推奨します。

---

【概要】
Apache Log4jで新たに発見されたゼロデイ脆弱性は悪用されるリスクがあり、攻撃者により任意のコマンドを実行される可能性があります。
本脆弱性に対するエクスプロイトのリスクを軽減するため、対象バージョンをお使いのユーザーは以下の方法による緩和策を適用してください。

【本脆弱性の影響を受ける製品とバージョン】
PowerChute Network Shutdown v4.1 ^*1
PowerChute Network Shutdown v4.2 ^*1
PowerChute Network Shutdown v4.3
PowerChute Network Shutdown v4.4

【緩和策】
PowerChute Network Shutdownが使用するJndiLookup クラスを以下の手順でクラスパスから削除します。
ここではバージョン4.4の環境で、jarファイルの操作のため、7-Zipを使用した例を示します。
スクリプトを使用した緩和策の適用については こちら を参照してください。
緩和策が適用されたことを確認する方法は こちら を確認してください。


・ Windows環境
1.    https://www.7-zip.org/download.htmlから7-Zipをダウンロードしてインストールします。
2.    管理者権限でコマンドプロンプトを開きます。
3.    次のコマンドを実行しフォルダーを次のように変更します。（PowerChuteをデフォルト設定のフォルダーにインストールしている場合。）
cd "c:\Program Files\APC\PowerChute\group1\lib"
4.    次のコマンドを実行し、PowerChuteサービスを停止します。
net stop pcns1
5.    次のコマンドを実行します。
"c:\Program Files\7-Zip\7z.exe" d log4j-core-2.13.3.jar JndiLookup.class -r
6.    次のコマンドを実行し、PowerChuteサービスを開始します
net start pcns1

他のバージョンの場合は、手順5を以下に置き換えてください。
バージョン4.3
"c:\Program Files\7-Zip\7z.exe" d log4j-core-2.10.0.jar JndiLookup.class -r
バージョン4.1 , 4.2
"c:\Program Files\7-Zip\7z.exe" d log4j-core-2.2.jar JndiLookup.class -r



・ Linux 、Unix（Solaris SPARC, HP-UX, AIX）、MacOS環境
以下、Linux環境を例に示します。（Unix, MacOS環境については、注記を参照してください。）
1.    rootユーザーとしてPowerChuteマシンにSSHで接続します。
2.    次のコマンドを実行しディレクトリを次のように変更します。（PowerChuteをデフォルト設定のディレクトリにインストールしている場合。）
cd  /opt/APC/PowerChute/group1/lib
3.    次のコマンドを使用して、PowerChuteサービスを停止します。
service PowerChute stop
または
/etc/init.d/PowerChute stop
または
systemctl stop PowerChute
注：この操作はLinuxのディストリビューションによって異なります

4.    次のコマンドを実行します。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
5.    次のコマンドを使用して、PowerChuteサービスを再起動します。
service PowerChute start
または
/etc/init.d/PowerChute start
または
systemctl start PowerChute


注：zipコマンドが使用できない場合は、実行しているLinuxのディストリビューションに応じて、yum、apt-get、zypperなどのパッケージマネージャーを使用してアプリケーションをインストールする必要があります。例として、RedHat Linuxでは以下のようにコマンドを実行します。
yum install unzip
yum install zip

注：Linux以外のその他の環境では、手順3、および手順5のPowerChuteサービスの停止・再起動については以下のコマンドを使用します。

Solaris SPARC環境
sudo /etc/rc2.d/S99PowerChute stop
sudo /etc/rc2.d/S99PowerChute start

HP-UX環境
sudo /sbin/init.d/pcns stop
sudo /sbin/init.d/pcns start

AIX環境
sudo /etc/rc.APCpcns stop
sudo /etc/rc.APCpcns start

MacOS環境
launchctl unload /Library/LaunchDaemons/com.apcc.pcns.plist
launchctl load -w /Library/LaunchDaemons/com.apcc.pcns.plist



・ PowerChute Network Shutdown仮想アプライアンス
1.    rootユーザーとしてPowerChuteマシンにSSHで接続します。
2.    以下のようにコマンドを実行します。
yum install unzip
yum install zip
3.    次のコマンドを実行しディレクトリを次のように変更します。
cd  /opt/APC/PowerChute/group1/lib
4.    次のコマンドを使用して、PowerChuteサービスを停止します。
service PowerChute stop
5.    次のコマンドを実行します。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
6.    次のコマンドを使用して、PowerChuteサービスを再起動します。
service PowerChute start


-----------------------------------------------------------------------------------------------------------------------------------------------------

*1 PowerChute Network Shutdown v4.1, v4.2はすでにサポート終了しているバージョンです。
理論的には対策を実施することで解消されますが、弊社では試験やサポートをしていないことを予めご理解ください。

公開先:Schneider Electric 日本

このページでは、2021年12月に公開されたApache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリApache Log4j脆弱性について
CVE-2021-44228及びCVE-2021-45046にて報告されている当社PowerChute Network Shutdownへの影響とその対策を以下の通りご案内します。

本ページの説明は新しい情報があり次第、更新されます。
なお、本ページは、シュナイダーエレクトリックの グローバルWEBサイト を基に公開しています。
・ 最新情報を確認したい場合はグローバルWEBサイトを参照ください。
・ CVE-2021-45105、CVE-2021-4104、CVE-2021-44832に関する脆弱性については影響ありません。

 

---

(重要な更新情報)
本脆弱性に関する修正プログラムが提供されています。

[セキュリティ情報] PowerChute Network Shutdown v4.3/v4.4のApache Log4j脆弱性に対する修正プログラム (2022年2月公開)
本ページで紹介する緩和策ではなく、
上記ページの修正プログラムを適用することを推奨します。

 

---

【概要】
Apache Log4jで新たに発見されたゼロデイ脆弱性は悪用されるリスクがあり、攻撃者により任意のコマンドを実行される可能性があります。
本脆弱性に対するエクスプロイトのリスクを軽減するため、対象バージョンをお使いのユーザーは以下の方法による緩和策を適用してください。

【本脆弱性の影響を受ける製品とバージョン】
PowerChute Network Shutdown v4.1 ^*1 
PowerChute Network Shutdown v4.2 ^*1 
PowerChute Network Shutdown v4.3
PowerChute Network Shutdown v4.4

【緩和策】
PowerChute Network Shutdownが使用するJndiLookup クラスを以下の手順でクラスパスから削除します。
ここではバージョン4.4の環境で、jarファイルの操作のため、7-Zipを使用した例を示します。
スクリプトを使用した緩和策の適用については こちら を参照してください。
緩和策が適用されたことを確認する方法は こちら を確認してください。


・ Windows環境
1.    https://www.7-zip.org/download.htmlから7-Zipをダウンロードしてインストールします。
2.    管理者権限でコマンドプロンプトを開きます。
3.    次のコマンドを実行しフォルダーを次のように変更します。（PowerChuteをデフォルト設定のフォルダーにインストールしている場合。）
         cd "c:\Program Files\APC\PowerChute\group1\lib"
4.    次のコマンドを実行し、PowerChuteサービスを停止します。
         net stop pcns1
5.    次のコマンドを実行します。
         "c:\Program Files\7-Zip\7z.exe" d log4j-core-2.13.3.jar JndiLookup.class -r
6.    次のコマンドを実行し、PowerChuteサービスを開始します
         net start pcns1

他のバージョンの場合は、手順5を以下に置き換えてください。
     バージョン4.3
          "c:\Program Files\7-Zip\7z.exe" d log4j-core-2.10.0.jar JndiLookup.class -r
  　バージョン4.1 , 4.2
          "c:\Program Files\7-Zip\7z.exe" d log4j-core-2.2.jar JndiLookup.class -r



・ Linux 、Unix（Solaris SPARC, HP-UX, AIX）、MacOS環境 
   以下、Linux環境を例に示します。（Unix, MacOS環境については、注記を参照してください。）
1.    rootユーザーとしてPowerChuteマシンにSSHで接続します。
2.    次のコマンドを実行しディレクトリを次のように変更します。（PowerChuteをデフォルト設定のディレクトリにインストールしている場合。）
         cd  /opt/APC/PowerChute/group1/lib 
3.    次のコマンドを使用して、PowerChuteサービスを停止します。
         service PowerChute stop
         または
　  　 /etc/init.d/PowerChute stop
　  　 または
  　　 systemctl stop PowerChute
          注：この操作はLinuxのディストリビューションによって異なります

4.    次のコマンドを実行します。
          zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
5.    次のコマンドを使用して、PowerChuteサービスを再起動します。
         service PowerChute start
　　　または
　  　 /etc/init.d/PowerChute start
         または
  　　 systemctl start PowerChute


注：zipコマンドが使用できない場合は、実行しているLinuxのディストリビューションに応じて、yum、apt-get、zypperなどのパッケージマネージャーを使用してアプリケーションをインストールする必要があります。例として、RedHat Linuxでは以下のようにコマンドを実行します。
      yum install unzip
      yum install zip

注：Linux以外のその他の環境では、手順3、および手順5のPowerChuteサービスの停止・再起動については以下のコマンドを使用します。 

Solaris SPARC環境
sudo /etc/rc2.d/S99PowerChute stop
sudo /etc/rc2.d/S99PowerChute start

HP-UX環境
sudo /sbin/init.d/pcns stop
sudo /sbin/init.d/pcns start

AIX環境
sudo /etc/rc.APCpcns stop
sudo /etc/rc.APCpcns start

MacOS環境
launchctl unload /Library/LaunchDaemons/com.apcc.pcns.plist
launchctl load -w /Library/LaunchDaemons/com.apcc.pcns.plist



・ PowerChute Network Shutdown仮想アプライアンス
1.    rootユーザーとしてPowerChuteマシンにSSHで接続します。
2.    以下のようにコマンドを実行します。
　      yum install unzip
         yum install zip
3.    次のコマンドを実行しディレクトリを次のように変更します。
         cd  /opt/APC/PowerChute/group1/lib 
4.    次のコマンドを使用して、PowerChuteサービスを停止します。
         service PowerChute stop
5.    次のコマンドを実行します。
          zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
6.    次のコマンドを使用して、PowerChuteサービスを再起動します。
         service PowerChute start


-----------------------------------------------------------------------------------------------------------------------------------------------------

*1 PowerChute Network Shutdown v4.1, v4.2はすでにサポート終了しているバージョンです。
　  理論的には対策を実施することで解消されますが、弊社では試験やサポートをしていないことを予めご理解ください。

 

公開先:Schneider Electric 日本