未解決
2 Intern
•
127 メッセージ
0
907
[VxRail]Log4j脆弱性の暫定対応手順
皆様こんにちは。
ネットワールドのストレージ担当です。
今回は、巷を騒がせている、Log4jの脆弱性について、VxRailの観点からご案内します。
まずは、Log4jの脆弱性とは何ぞや?ということで。
[Log4jの脆弱性について]
Log4jの脆弱性は、CVE-2021-44228及びCVE-2021-45046として採番されており、
JavaベースのオープンソースロギングライブラリであるApache Log4jに、任意のコード実行が可能な脆弱性が存在しています。
共通脆弱性評価システム(CVSS)では、深刻度が「Critical」(CVSSv3)と定義され、実際にこの脆弱性を悪用した攻撃も報告されているようです。
そのため、この対応を喫緊の課題とされているユーザ様も多いかと思われます。
この脆弱性は、Log4j自体が非常に多くのシステムで使われているため、影響を受けるシステムが多いというところがポイントです。
[VxRailにおけるLog4j脆弱性の影響]
VxRailもこの例に漏れず、影響を受けてしまいます。
つい先日(2022/2/1)に、この脆弱性に対応したVxRailバージョン7.0.320がリリースされましたが、ESXiのバージョンも7.0 Update3とバージョンアップされていて、すぐにはアップデートができない!という環境もあるかと思います。
そこで、暫定対処手法を検証してみたので、今回はこの手順をまとめてみました。
VxRailのコンポーネントとしてLog4j脆弱性の影響を受けるのは、[VxRail Manager]と[vCenter]が存在します。
これらのコンポーネントは、それぞれ別の手順でワークアラウンド対応をする必要があります。
[Log4j暫定対応]
※お断り:執筆時点のKBに従った対応ファイル、手順で検証をしていますが、ファイルや手順が更新されることもあるので、都度最新の情報を公式ページから確認して対応してください。
◆VxRail Manager
以下のKBに手順が紹介されています。
https://www.dell.com/support/kbdoc/en-us/000194458/vxrail-vxrail-manager-workaround-to-remediate-log4shell
ざっくりと手順をご説明しますと、
①対策ファイル(.zip)をダウンロードし、VxRail Managerにアップロードする。
②sshでVxRail Managerにログインし、zipを展開する。
③実行権を付与する。
④スクリプトを実行する。
⑤確認コマンドでパッチ適用を確認する。
といった形になります。
詳細に手順を解説していきます。
◆vCenter
以下のKBに手順が紹介されています。
https://kb.vmware.com/s/article/87081?lang=en_US
いくつか手法が紹介されていますが、スクリプトを用いた自動回避策が推奨されていたので、今回はこの手順でご紹介します。
こちらもざっくりと手順をご説明しますと、
①対策ファイル(.py)をダウンロードし、vCenterの/tmpディレクトリにアップロードする。
②sshでvCenterにログインし、pythonスクリプトを実行する。
③ドライランでスクリプトを実行し、脆弱性が消えたことを確認する。
といった形になります。
こちらも、詳細に手順を確認してみましょう。
という訳で、VxRailにおけるLog4jの脆弱性暫定対応が完了しました!
DellのKBには、動画による手順の紹介もあるので参考になります!
(動画では、SnapshotによるVxRail Managerのバックアップを取得していますので、必要に応じてバックアップを取ってから作業を進めましょう。)
バージョンアップは、作業にかかる調整や調査、実際の作業に時間がかかるということもあり、脆弱性の対応まで時間がかかることも多いとは思いますが、このワークアラウンドでまずは脆弱性を塞ぐことができるので、脆弱性に焦らされることなく、バージョンアップ対応ができるかなと思います。
(あくまでワークアラウンド対応ですので、バージョンアップによる回避が好ましいです!)
今回もご覧いただきありがとうございました。
また次回お会いしましょう!
Networld Techのブログ一覧はこちら!