重大なセキュリティ脆弱性(CVE-2021-44832、-45105、-45046、-44228)のパッチ

メモ

以下で説明するセキュリティの脆弱性は、バージョン 15.1.0 まですべてのバージョンの Analytics に影響します。バージョン 16.0 の Analytics では脆弱性のあるコンポーネントが含まれなくなったため、この脆弱性はありません。

Analytics の[分析アプリ]ウィンドウは Apache Log4j を使用しています。結果として、次の一覧の Log4j 重大なセキュリティ脆弱性の影響を受けますが、Analytics にとっての実際の脆弱性はレベルです。

この脆弱性の一覧は、以前のパッチが不完全であることが判明したときに大きくなりました。Analytics の上記の脆弱性をすべて軽減するパッチを用意しました。

オプション

Analytics ユーザーにとってのリスクは高くありませんが、次のオプションのいずれかを使用して脆弱性の状況を解決することをお勧めします。

パッチについて

このパッチは Log4j のプロバイダーである Apache からの正式リリースです。Analytics の CVE-2021-44832CVE-2021-45105CVE-2021-45046CVE-2021-44228 が軽減されます。

脆弱な Analytics のバージョン

リスクは低いものの、15.1.0 以下のすべてのバージョンの Analytics が影響を受けます。インストールしたバージョンに関係なく、最新バージョンの Analytics (17.0) にアップグレードするか、今すぐ既存のバージョンの Analytics に手動でパッチを適用することをお勧めします。

メモ

15.1.0 より前のバージョンの Analytics は他の脆弱性や不具合の影響を受けます。このような問題はこの手動パッチでは修正されません。15.1.0 より前のバージョンの Analytics を使用している場合は、Analytics 17.0 にアップグレードすることをお勧めします。これにより、以前に特定されたすべての脆弱性や不具合が解決されます。以前の修正については、リリース ノートを参照してください。

パッチをインストールする方法

メモ

ACL for Windows が Program Files フォルダーにインストールされている場合は、このパッチを実行するためにコンピューターで管理者権限が必要です。パッチを自分で実行できない場合は、システム管理者にサポートを依頼してください。

このパッチは、Analytics がインストールされている各コンピューターにインストールする必要があります。手動でインストールするか、バッチ スクリプトを使用してインストールできます。

複数のバージョンの Analytics をサイドバイサイド インストールしている場合は、すべてのインストール済みのバージョンに個別でパッチを適用する必要があります。

バッチ スクリプト方式

Analytics がデフォルトの場所(C:\Program Files (x86)\ACL Software\ACL for Windows <<version>>)にインストールされている場合にのみ、この方法を使用してください。Analytics が別の場所にインストールされている場合は、次に説明する手動の方法を使用してください。

  1. 開いている場合は、Analytics と ACL for Windows を終了します。
  2. この zip 圧縮されたフォルダーをコンピューターにダウンロードします。
  3. C:/temp/patch などの簡単な場所でフォルダーを解凍します。
  4. 管理者モードで Windows コマンド プロンプトを開きます。
  5. 作成したフォルダーに移動します。たとえば、C:/temp/patch に解凍した場合は、次のように入力します。
    cd c:\temp\patch
  6. 解凍したフォルダーからバッチ スクリプトを実行します。
    .\do_replace.bat

手動の方法

  1. 開いている場合は、Analytics と ACL for Windows を終了します。
  2. この zip 圧縮されたフォルダーをコンピューターにダウンロードします。
  3. フォルダーを解凍します。
  4. ACL for Windows がインストールされているフォルダーに移動します。例:C:\Program Files (x86)\ACL Software\ACL for Windows 15
  5. ACL アプリ フォルダーを開きます。
  6. acl-service.ini をダウンロードした新しいバージョンのファイルで置換します。
  7. lib フォルダーを開きます。
  8. 次の一覧の 4 つの *.jar ファイルを、ダウンロードした新しいバージョンのファイルで置き換えます。新しいバージョンはファイル名に 2.17.1 が含まれています。
    • log4j-1.2-api-2.8.2.jar
    • log4j-api-2.8.2.jar
    • log4j-core-2.8.2.jar
    • log4j-slf4j-impl-2.8.2.jar

Analytics Exchange にもパッチを提供する必要がある場合があります

組織で Analytics Exchange を使用する場合は、システム管理者がパッチを実行するかアップグレードしてください。Analytics Exchange にパッチを適用する手順を参照してください。