Cisco Contact Center ソリューションで Apache Log4j の脆弱性が与える影響の理解

はじめに

このドキュメントでは、Apache Log4j の脆弱性が Cisco Contact Center（UCCE）製品ラインに与える影響について説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco Unified Contact Center 製品バージョン 11.6 以降

背景説明

Apache は、先日、Log4j コンポーネントにおける脆弱性を発表しました。これは Cisco Contact Center ソリューションで広く使用されているため、シスコでは、製品ラインナップの評価を積極的に行い、何が安全で何が影響を受けるのかを検証しています。

注：詳細については、次のサイトを参照してください。Cisco Security Advisory - cisco-sa-apache-log4j

このドキュメントでは、入手可能になりしだい、より多くの情報を提供します。

アプリケーション	不具合 ID	11.6.（2）。	12.0(1)	12.5(1)	12.6(1)
UCCE/ICM	CSCwa47273	パッチ：11.6(2)_ES84 ReadMe	パッチ：12.0(1)_ES91 ReadMe	パッチ：12.5(1)_ES101 ReadMe 注1:ES_55パッチが必要。OpenJDK Migration docを参照。 注2:Tomcatバージョンの確認 – 以下の「ICMサーバでのTomcatバージョンの確認」セクションを参照してください。	パッチ：12.6(1)_ES17 ReadMe
PCCE	CSCwa47274	パッチ：11.6(2)_ES84 ReadMe	パッチ：12.0(1)_ES91 ReadMe	パッチ：12.5(1)_ES101 ReadMe 注1:ES_55パッチが必要。OpenJDK Migration docを参照。 注2:Tomcatバージョンの確認 – 以下の「ICMサーバでのTomcatバージョンの確認」セクションを参照してください。	パッチ：12.6(1)_ES17 ReadMe
CTIOS		影響なし	影響なし	影響なし	影響なし
アプリケーション	不具合 ID	11.6(1)	12.0(1)	12.5(1)	12.6(1)
CVP	CSCwa47275	パッチ：11.6(1) ES16 Readme	パッチ：12.0(1)_ES10 ReadMe	パッチ：12.5(1)_ES25 ReadMe	パッチ：12.6(1)_ES9 ReadMe
VVB	CSCwa47397	影響なし	影響なし	パッチ：12.5(1)_ES12 Readme	パッチ：12.6(1)_ES03 ReadMe * 2021 年 12 月 29 日に公開されたパッチを使用
Call Studio	CSCwa54008	Callstudio_11.6_Log4j_fix ReadMe	Callstudio_12.0(1)_Log4j_fix ReadMe	Callstudio_12.5(1)_Log4j_fix ReadMe	Callstudio_12.6(1)_Log4j_fix ReadMe
Finesse	CSCwa46459	影響なし	影響なし	影響なし	パッチ：12.6(1)_ES3 ReadMe
CUIC	CSCwa46525	影響なし	影響なし	影響なし	パッチ：12.6(1)_ES03 ReadMe
Live Data（LD）	CSCwa46810	パッチ：11.6.1_COP23 ReadMe	パッチ：12.0(1)_ES18 ReadMe	パッチ：12.5(1)_ES13 ReadMe	パッチ：12.6(1)_ES03 ReadMe
IDS		影響なし	影響なし	影響なし	影響なし
CUIC Co-res（CUIC-LD-IDS）	CSCwa46810	パッチ：11.6.1_COP23 ReadMe	パッチ：12.0(1)_ES18 ReadMe	パッチ：12.5(1)_ES13 ReadMe	パッチ：12.6(1)_ES03 ReadMe
CloudConnect	CSCwa51545			影響なし	パッチ：12.6(1)_CC_COP
ECE	CSCwa47392	影響なし	パッチ：12.0(1)_ES6_ET2 ReadMe	パッチ：12.5(1)_ES3_ET2 ReadMe	パッチ：12.6(1)_ET2 ReadMe
CCMP	CSCwa47383	影響なし	影響なし	パッチ：12.5(1)_ES6 ReadMe	パッチ：12.6(1)_ES3 ReadMe
CCDM	CSCwa47383	影響なし	影響なし	パッチ：12.5(1)_ES6 ReadMe	パッチ：12.6(1)_ES3 ReadMe
Google CCAI	CCAI 機能セットには影響がないことを Google が確認済み
Webex Experience Management（WxM）	WxM は log4j を使用しないためにソリューションには影響がない
Customer Collaboration Platform（CCP）	CSCwa47384	影響なし	影響なし	影響なし	影響なし

* リリース日は変更される可能性があり、パッチがリリースされるまで必要に応じて更新されます。 

ICM サーバーでの Tomcat バージョンチェック

1. ICM サーバー（つまり、ルータ、ロガー、PG、および AW サーバー）では、「<ICM HOME>\tomcat\bin\version.bat」ファイルを実行することにより、インストールされている Tomcat のバージョンをチェックします。
2. Tomcat のバージョンが 9.0.37 以降の場合は、これらの手順を実行して、不具合「CSCvv73307」を解決します。
3. サーバーに ES_81 パッチをインストールします。ICM サーバーに 81 より後の ES がある場合は、まず、それらの ES をアンインストールしてください。

      - 12.5(1)_ES81 パッチ：https://software.cisco.com/download/specialrelease/0aab225ecde522734cc6c6491ad1eb42

      - 12.5(1)_ES81 ReadMe：https://www.cisco.com/web/software/280840583/158250/Release_Document_1.html

4. ES_81 のインストールに成功したら、bat ファイル「<ICM HOME>\tomcat\bin\version.bat」を実行することにより、Tomcat のバージョンを確認します。
5. Tomcat のバージョンはステップ 1 と同じままである必要があります。同じである場合は、log4j パッチ（つまり、ES_101）までの必要なすべての ES を順番に再インストールします。

よく寄せられる質問

Q.1どのくらいの頻度で最新の情報に改訂されますか。 

回答：ドキュメントは毎日確認され、午前中（米国時間）に更新されます

Q.2 ICMバージョン(Router、Logger、AW、PG)10.x、11.0(x)、11.5(x)、および11.6(1)は影響を受けますか。 

正解：これらのバージョンは1.Xバージョンのlog4jを使用しているため、影響を受けません。

注：アドバイザリ表には、メンテナンス中のバージョンに関するバグが記載されています。強調表示されていないバージョンは、ソフトウェアメンテナンスが終了しており、レビューの対象とは見なされません。     

Q.3 パッチは、いつリリースされますか。

回答：アドバイザリ表には、パッチがリリースされる暫定的な日付が示されています。このテーブルは、関連するリンクが利用可能になると更新されます。  

Q.4 修正が準備されるまで、実装できる回避策はありますか。

回答：PSIRTアドバイザリに従い、影響を受けるバージョンのパッチがリリースされた後できるだけ早く適用されるようにすることをお勧めします。 

Q.5 CUIC Standalone 11.6(1)はlog4jの影響を受けませんが、ESのreadmeには、サーバで必要なパッチが記載されています。なぜですか。 

正解：このESは、log4jのみが修正されたスタンドアロンESではありません。このES23は、VOS製品に対して適用される累積ESです。つまり、顧客が使用できる最新の累積ESは、どの時点でも1つだけです。たとえば、顧客がスタンドアロン CUIC 11.6 ES 21（またはそれ以前）を使用しており、ES22 の CUIC 不具合修正を必要としているとします。この場合も、やはり、ES23 をインストールする必要があります（ES は累積的であり、顧客は最新バージョンの ES のみを利用できるため）。 さらに、この log4j の不具合は、ES Readme の LD 不具合の箇所に記載されています。ESのインストール時に、不具合の修正は必要に応じて導入に基づいてインストールされます(つまり、導入チェックが行われ、ESのインストール前にスタンドアロンCUIC / 共存CUIC/LDが適用され、それに応じて不具合の修正が適用されます) 

Q.6 UCCE製品にパッチを適用した後に、組織のセキュリティスキャナ（例：Qualys）がCVE-2021-45105を受け入れた場合、どのような措置を取りますか。

回答：シスコがCVE-2021-45105をレビューし、この脆弱性の影響を受けるシスコ製品またはクラウドサービスはないと判断したため、対策は必要ありません。この情報は、アドバイザリでも強調表示されています。Log4j バージョン 2.16.0 が DDoS に関する脆弱性を持つのは、悪用を可能にするデフォルト以外の設定が使用されている場合のみです。これは、攻撃者が log4j 設定ファイルを手動で変更する必要があることを意味します。これは、UCCE 製品では不可能であるため、CVE-2021-45105 は適用されません。

Q7.1.2xファイルなど、システム上に古いLog4jの「.jar」ファイルが表示された場合はどうすればいいですか。

回答：ロールバック処理が中断されないように、古いファイルをそのまま残しておくことをお勧めします。システム上にこれらのファイルの非アクティブなバージョンがあることでコンポーネントが脆弱性を持つことはありません。

ただし、ビジネス上、ファイルを削除する必要がある場合は、影響を最小限に抑えるために、実稼働環境で手順を実装する前に、ラボで目的のプロセスをテストすることを強くお勧めします。また、アクティビティに問題が発生した場合に備えて、システムをリカバリするためのバックアップおよびロールバック計画を用意しておくこともお勧めします。