このページでは、2021年12月に公開されたApache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリApache Log4j脆弱性について
CVE-2021-44228及びCVE-2021-45046にて報告されている当社PowerChute に関するよくある問い合わせを説明しています。
| 問合せ内容 | 回答 |
| Apache Log4j脆弱性に影響する シュナイダーエレクトリック製品と対策を教えてください | こちら を参照してください |
| Apache Log4j脆弱性に関する PowerChute Business Editionへの影響と対策を 教えてください | 本脆弱性を回避したアップデートバージョン(v10.0.5)が リリースされています。 v10.0.5へアップデートしてください。 |
| Apache Log4j脆弱性に関する PowerChute Network Shutdownへの影響と対策を 教えてください | 本脆弱性に関する修正プログラムが提供されていますので、 こちら のページを参照し、 修正プログラムを適用してください。 |
| Apache Log4j脆弱性に対する緩和策を実施した際、 コマンドが反映されていることを確認する方法を 教えてください | こちら を参照してください |
| 緩和策の削除コマンドを実施した後、 | PowerChuteの再インストールもしくは、 log4j-core-xxx.jarのファイルを事前にコピーしていただき ファイルを置き換えていただくことで 元に戻すことも可能です。 |
| 緩和策の実施に必要な時間を教えてください | PowerChuteのサービス再起動および、 コマンド実行の時間を含め1分30秒程度となります。 |
| PowerChute が動作しているコンピュータで 7zipを実行したくないため、別のコンピュータに log4j-core-xxx.jarをコピーし緩和策を実行して、 対象サーバにファイルを元に戻していいですか | はい、問題ありません。 1. PowerChute が動作しているコンピュータから 別のPCにlog4j-core-xxx.jarをコピー 2. 別のPCで各影響と対策に記載のある、 7zipのコマンドを実施し JndiLookup クラスをクラスパスから削除 3. PowerChuteのサービスを停止 4. 上記2.で実行したlog4j-core-xxx.jarと、 実際の対象マシンのlog4-core-xxxx.jarと置き換える 5. PowerChuteサービスを開始します |
| 誤って別のバージョンの緩和策を実施したさい、 ファイル名 log4j-core-x.x.x.jarが 作成されてしまいましたが、削除して問題ないでしょうか | はい、削除して問題ありません。 |
公開先:Schneider Electric 日本
