FAQを参照する
[セキュリティ情報] PowerChute Network Shutdown v4.3, v4.4の脆弱性対応修正プログラムについて (2022年9月公開)
このページでは、Apache Log4j、Eclipse Jetty、Spring FrameworkおよびApache Commons Compressについて、
2022年5月の時点で報告されている脆弱性への対策のためのPowerChute Network Shutdown v4.3, v4.4修正プログラムの適用方法をご案内します。
この修正プログラムを適用することで、2022年2月公開のApche Log4j脆弱性に対する修正の対応も含まれます。
【概要】
Apache Log4j、Eclipse Jetty、Spring Framework、Apache Commons Compressに対する脆弱性が以下のCVE番号で報告されています。
PowerChute Network Shutdownでは該当するサードパーティライブラリを使用しているため、対策済みのパッチの適用を推奨します。
・Log4j 関連
CVE-2021-44228
・Jetty 関連
CVE-2021-34428、CVE-2021-28169、CVE-2021-28165、CVE-2020-27223、CVE-2020-27218、CVE-2020-27216
・Spring Framework 関連
CVE-2020-5398、CVE-2020-5421
・Commons Compress 関連
CVE-2021-36090、CVE-2021-35517、CVE-2021-35516、CVE-2021-35515、CVE-2019-12402、CVE-2018-11771
【対象製品】
PowerChute Network Shutdown v4.3
PowerChute Network Shutdown v4.4
* PowerChute Network Shutdown v4.4 仮想アプライアンスをお使いの場合:
本修正プログラムが適用されたアプライアンス PowerChute Network Shutdown v4.4.3をClubAPCにて公開しております。
v4.4.3のアプライアンスモジュールは従来のCentOSベースからAlmaLinux ベースに変更されました。
ソフトウェアのアップグレードとは異なり、新たなデプロイが必要なため、設定内容は引き継がれずデプロイ後に再設定が必要です。
v4.4.3のアプライアンスモジュールはClub APCよりダウンロードしてください。
* 本修正プログラムはvMAには非対応のため、VMware環境では仮想アプライアンスを使用して適用してください。
【修正プログラムについて】
この修正プログラムでは概要で記載した脆弱性の対策済のバージョンファイル (log4j 2.17.1 jar、jetty 9.4.43、commons-compress 1.21)にアップデートされます。また、pcns.jar ファイルも更新します。
【修正プログラムの適用手順】
[Windows環境]
[Linux, Unix (Solaris, HP-UX, AIX), MacOS環境、PowerChute v4.3仮想アプライアンス]
修正プログラムの適用後には、
<PCNSインストールパス>\PowerChute\group1\compフォルダーのpcns.jarファイルが更新されます。
<PCNSインストールパス>\PowerChute\group1\libフォルダー配下のライブラリが更新され、以前のバージョンのライブラリは同フォルダーから削除されます。
2022年5月の時点で報告されている脆弱性への対策のためのPowerChute Network Shutdown v4.3, v4.4修正プログラムの適用方法をご案内します。
この修正プログラムを適用することで、2022年2月公開のApche Log4j脆弱性に対する修正の対応も含まれます。
【概要】
Apache Log4j、Eclipse Jetty、Spring Framework、Apache Commons Compressに対する脆弱性が以下のCVE番号で報告されています。
PowerChute Network Shutdownでは該当するサードパーティライブラリを使用しているため、対策済みのパッチの適用を推奨します。
・Log4j 関連
CVE-2021-44228
・Jetty 関連
CVE-2021-34428、CVE-2021-28169、CVE-2021-28165、CVE-2020-27223、CVE-2020-27218、CVE-2020-27216
・Spring Framework 関連
CVE-2020-5398、CVE-2020-5421
・Commons Compress 関連
CVE-2021-36090、CVE-2021-35517、CVE-2021-35516、CVE-2021-35515、CVE-2019-12402、CVE-2018-11771
【対象製品】
PowerChute Network Shutdown v4.3
PowerChute Network Shutdown v4.4
* PowerChute Network Shutdown v4.4 仮想アプライアンスをお使いの場合:
本修正プログラムが適用されたアプライアンス PowerChute Network Shutdown v4.4.3をClubAPCにて公開しております。
v4.4.3のアプライアンスモジュールは従来のCentOSベースからAlmaLinux ベースに変更されました。
ソフトウェアのアップグレードとは異なり、新たなデプロイが必要なため、設定内容は引き継がれずデプロイ後に再設定が必要です。
v4.4.3のアプライアンスモジュールはClub APCよりダウンロードしてください。
* 本修正プログラムはvMAには非対応のため、VMware環境では仮想アプライアンスを使用して適用してください。
【修正プログラムについて】
この修正プログラムでは概要で記載した脆弱性の対策済のバージョンファイル (log4j 2.17.1 jar、jetty 9.4.43、commons-compress 1.21)にアップデートされます。また、pcns.jar ファイルも更新します。
【修正プログラムの適用手順】
[Windows環境]
1. patch_4.3.1_jp.zip (v4.3用)、もしくは、patch_4.4.0.3_jp.zip (v4.4用)ファイルをPowerChuteがインストールされているマシンの任意のフォルダーにコピーし、ファイルを展開します。(ここでは c:\temp にコピーしたとします)
2. 管理者権限でコマンドプロンプトを開きます
3. ファイルを展開したフォルダーに移動します
上記1. で c:\temp コピーした場合は、次のコマンドを実行しフォルダーに移動します。
cd c:\temp
4. 以下のコマンドでスクリプトを実行します
run_patch.cmd
5. スクリプトの実行後、以下メッセージが表示されたら完了です
" Patch applied to PowerChute, starting PowerChute service"
注:修正プログラムのスクリプトを実行する中でPowerChuteサービスの停止と起動が含まれます。
2. 管理者権限でコマンドプロンプトを開きます
3. ファイルを展開したフォルダーに移動します
上記1. で c:\temp コピーした場合は、次のコマンドを実行しフォルダーに移動します。
cd c:\temp
4. 以下のコマンドでスクリプトを実行します
run_patch.cmd
5. スクリプトの実行後、以下メッセージが表示されたら完了です
" Patch applied to PowerChute, starting PowerChute service"
注:修正プログラムのスクリプトを実行する中でPowerChuteサービスの停止と起動が含まれます。
[Linux, Unix (Solaris, HP-UX, AIX), MacOS環境、PowerChute v4.3仮想アプライアンス]
1. patch_4.3.1_jp.zip (v4.3用)、もしくは、patch_4.4.0.3_jp.zip (v4.4用)ファイルをPowerChuteがインストールされているマシンの任意のディレクトリにコピーし、ファイルを展開します。
2. ターミナルプロンプトを開くか、SSH経由でPowerChuteマシンに接続します。
3. ファイルを展開したディレクトリに変更し、rootユーザーとして、またはsudoを使用して以下を実行します。
chmod +x ./pcns_patch.sh
./pcns_patch.sh
4. スクリプトの実行後、以下メッセージが表示されたら完了です。
"Patch applied to PowerChute."
注:修正プログラムのスクリプトを実行する中でPowerChuteサービスの停止と起動が含まれます。
2. ターミナルプロンプトを開くか、SSH経由でPowerChuteマシンに接続します。
3. ファイルを展開したディレクトリに変更し、rootユーザーとして、またはsudoを使用して以下を実行します。
chmod +x ./pcns_patch.sh
./pcns_patch.sh
4. スクリプトの実行後、以下メッセージが表示されたら完了です。
"Patch applied to PowerChute."
注:修正プログラムのスクリプトを実行する中でPowerChuteサービスの停止と起動が含まれます。
修正プログラムの適用後には、
<PCNSインストールパス>\PowerChute\group1\compフォルダーのpcns.jarファイルが更新されます。
<PCNSインストールパス>\PowerChute\group1\libフォルダー配下のライブラリが更新され、以前のバージョンのライブラリは同フォルダーから削除されます。
公開先:Schneider Electric 日本
添付
詳細を見る
製品群:
詳細を見る
製品群: