{}

シュナイダーエレクトリックのブランド

0 ドキュメントのアイテム数:
Impact-Company-Logo-English Black-01-177x54
マイプロダクト カート内のアイテム数: 0 マイドキュメント カート内のアイテム数: 0
Impact-Company-Logo-English Black-01-177x54

シュナイダーエレクトリックのWebサイトへようこそ

シュナイダーエレクトリックのWebサイトへようこそ。
  1. サポート
  2. FAQを参照する
  3. FAQ000229381

FAQを参照する

[セキュリティ情報] Apache Log4j脆弱性に関するPowerChute Business Editionへの影響と7Zipによる対策について (2021年12月公開)

このページでは、2021年12月に公開されたApache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリApache Log4j脆弱性について
CVE-2021-44228及びCVE-2021-45046にて報告されている当社PowerChute Business Editionへの影響とその対策を以下の通りご案内します。
本ページの説明は新しい情報があり次第、更新されます。
なお、本ページは、シュナイダーエレクトリックの グローバルWEBサイト(英語) を基に公開しています。
*最新情報を確認したい場合はグローバルWEBサイト(英語) を参照ください。
*CVE-2021-45105、CVE-2021-4104、CVE-2021-44832に関する脆弱性については影響ありません。


[ 重要な更新情報 ]

本脆弱性を回避したアップデートバージョン  (v10.0.5) がリリースされています。

本ページで紹介する緩和策でなく、v10.0.5にアップデートいただくことを推奨します。

● PowerChute Business Edition v10.0.5へのアップデート
Club APC, Partner Club APCにアクセスし、表示されているv10.0.5をダウンロードしてください。
表示されていない場合にはアップデートの権限がありません。
アップデートにはライセンスの再購入が必要となります。
アップデートが必要な場合には、ご利用のUPS型番により製品型番をご選定ください。
PowerChute Business Edition型番一覧


【概要】
Apache Log4jで新たに発見されたゼロデイ脆弱性は悪用されるリスクがあり、攻撃者により任意のコマンドを実行される可能性があります。本脆弱性に対するエクスプロイトのリスクを軽減するため、対象バージョンをお使いのユーザーは以下の方法による緩和策を適用してください。

【本脆弱性の影響を受ける製品とバージョン(v)】
PowerChute Business Edition v10.0, v10.0.1, v10.0.2, v10.0.3
*v9.x以前のバージョンは影響をうけません。

【緩和策】
PowerChute Business Editionが使用するJndiLookup クラスを以下の手順でクラスパスから削除します。
ここではバージョン10.0.3の環境で、jarファイルの操作のため、7-Zipを使用した例を示します。
スクリプトを使用した緩和策の適用については こちら を参照してください。
緩和策が適用されたことを確認する方法は こちら を確認してください。

・ Windows環境
1.    https://www.7-zip.org/download.htmlから7-Zipをダウンロードしてインストールします。
2.    管理者権限でコマンドプロンプトを開きます。
3.    次のコマンドを実行しフォルダーを次のように変更します。(PowerChuteをデフォルト設定のフォルダーにインストールしている場合。)
cd "c:\Program Files (x86)\APC\PowerChute Business Edition\agent\lib"
4.    次のコマンドを実行し、PowerChuteサービスを停止します。
net stop apcpbeagent
5.    次のコマンドを実行します。
"c:\Program Files\7-Zip\7z.exe" d log4j-core-2.14.1.jar JndiLookup.class -r
6.    次のコマンドを実行し、PowerChuteサービスを開始します。
net start apcpbeagent

他のバージョンの場合は、手順5を以下に置き換えてください。
バージョン10.0、10.0.1、10.0.2の場合
"c:\Program Files\7-Zip\7z.exe" d log4j-core-2.11.1.jar JndiLookup.class -r

・ Linux 環境
1.    rootユーザーとしてPowerChuteマシンにSSHで接続します。
2.    次のコマンドを実行しディレクトリを次のように変更します。(PowerChuteをデフォルト設定のディレクトリにインストールしている場合。)
cd  /opt/APC/PowerChuteBusinessEdition/Agent/lib
3.    次のコマンドを使用して、PowerChuteサービスを停止します。
service pbeagent stop
または
/etc/init.d/PBEAgent stop
または
systemctl stop PBEAgent
注:この操作はLinuxのディストリビューションによって異なります

4.    次のコマンドを実行します。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
5.    次のコマンドを使用して、PowerChuteサービスを再起動します。
service pbeagent start
または
/etc/init.d/PBEAgent start
または
systemctl start PBEAgent

注:zipコマンドが使用できない場合は、実行しているLinuxのディストリビューションに応じて、yum、apt-get、zypperなどのパッケージマネージャーを使用してアプリケーションをインストールする必要があります。例として、RedHat Linuxでは以下のようにコマンドを実行します。
yum install unzip
yum install zip

----------

【参考】
● PowerChute Business Edition v10.0.5へのアップデート
Club APC, Partner Club APCにアクセスし、表示されているv10.0.5をダウンロードしてください。
表示されていない場合にはアップデートの権限がありません。アップデートにはライセンスの再購入が必要となります。
アップデートが必要な場合には、ご利用のUPS型番により製品型番をご選定ください。
PowerChute Business Edition型番一覧

● PowerChute Business Editionライセンス購入
UPSをお買い求めいただいた販売店様にてご注文いただけます。
購入先がご不明の場合にはAPC製品を購入する より販売店様 もしくは オンラインショップへお問い合わせください。

公開先:Schneider Electric 日本

詳細を見る
製品群:
PowerChute Business Edition
詳細を見る
製品群:
PowerChute Business Edition

役立つ可能性のある記事

その他の記事を表示show more