問題
- ESET Secure Authentication (ESA)レポートエンジンで利用されているElasticsearchは、
log4j2ライブラリで見つかった脆弱性CVE-2021-44228の影響を部分的に受けます。
詳細
クリックして拡大
「Elasticsearchのサポートバージョン(6.8.9+、7.8+)は、最近のバージョンのJDK(JDK9+)で使用されており、リモートでのコード実行や情報漏えいの影響を受けません。これはElasticsearchがJava Security Managerを使用しているためです。その他のほとんどのバージョン(5.6.11+、6.4.0+、7.0.0+)は、単純なJVMプロパティの変更で保護することができます。"
解決方法
この問題を自動的に解決するには
- ESAバージョン3.0.40以降をダウンロードする。
- ダウンロードした.EXEファイルをダブルクリックします。
- 画面の指示に従ってアップグレードを完了します。
この問題を手動で解決するには、Elasticsearchインスタンスで、以下のオプションのいずれかを実行してください:
-
JVMプロパティ
または-Dlog4j2.formatMsgNoLookups=trueを設定する。
-
JndiLookup.classを削除する。
以下の図1-1の調整サンプルを参照のこと。
