脆弱性アセスメント
このドキュメントでは、Cisco DNA Center での Apache Log4j の脆弱性による影響について説明します。
2021 年 12 月、Apache Software Foundation は、オープンソースの Log4j ロギングライブラリの脆弱性を公開しました。Log4j は Cisco DNA Center ソリューションで広く使用されており、シスコは製品ラインナップを積極的に評価して、何が安全で何が影響を受けるかを検証しています。
詳細については、『Cisco Security Advisory: Vulnerabilities in Apache Log4j Library Affecting Cisco Products: December 2021』[英語] を参照してください。
(注) |
このドキュメントでは、入手可能になり次第、より多くの情報を提供します。 |
前提条件
このドキュメントには固有の前提条件や要件はありません。
使用されるコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
-
Cisco DNA Center リリース 1.0 以降。
アドバイザリテーブル
次のアドバイザリテーブルに、この脆弱性の特定のバグ、影響を受ける製品のバージョン、および修正が提供されている利用可能なパッチリリースを示します。パッチリリースが示されていない製品のバージョンは、ソフトウェアメンテナンスの終了段階を過ぎており、レビューの対象になっていません。
アプリケーション | 1.0.x | 1.1.x | 1.2.x | 1.3.x | 2.0.x | 2.1.1.x | 2.1.2.x | 2.2.2.x | 2.2.3.x | 2.3.x |
---|---|---|---|---|---|---|---|---|---|---|
障害 ID:CSCwa47322 |
||||||||||
Cisco DNA Center |
影響あり |
影響あり |
影響あり |
影響あり |
影響あり |
影響あり |
影響あり |
影響あり |
影響あり |
影響あり |
パッチ適用済みのリリース |
||||||||||
— |
— |
— |
— |
— |
— |
— |
2.3.2.1.70507 CA リリース |
よく寄せられる質問
-
Q1:ドキュメントはどのくらいの頻度で最新の情報とともに改訂されますか。
回答:ドキュメントは毎週見直され、午前中(米国時間)に更新されます。
-
Q2:パッチはいつリリースされますか。
回答:現在維持されているリリースのパッチが適用されたすべてのソフトウェアはリリースされ、アドバイザリテーブルに文書化されています。
-
Q3:修正が完了するまでに実行できる回避策はありますか。
回答:PSIRT アドバイザリに従い、影響を受けるバージョンのパッチがリリースされたら、できるだけ早くパッチを適用することをお勧めします。
-
Q4:パッチを適用した Cisco DNA Center に古い Log4j ファイルが表示されます。どうしてですか。
回答:影響を受ける Cisco DNA Center のリリースは、Apache Log4j バージョン 2.15 から 2.16 に移動されました。一部のオープンソースサービスは、Log4j と 2.11 の 1.x バージョンに依存しています。ただし、問題のあるクラスは削除され、現在の構成は脆弱ではありません。ファイル名とバージョン番号に依存して識別するのではなく、脆弱性の評価、識別、および露出の削減に役立つ次のツールをお勧めします。
-
Q5:Cisco DNA Center の製品にパッチを適用した後、組織のセキュリティスキャナ(Qualys など)が CVE-2021-45105、CVE-2021-45046、および CVE-2021-44832 を検出した場合、どのように対処すべきですか。
回答:対処は不要です。シスコは、CVE-2021-45105、CVE-2021-45046、および CVE-2021-44832 を確認し、この脆弱性による影響を受けるシスコ製品またはクラウドサービスはないと判断しました。この情報は、アドバイザリでも強調されています。
(注)
現在、CVE-2021-44832 と CVE-2021-45105 に対する脆弱性はありませんが、Cisco DNA Center リリース 2.2.3.5 と 2.3.2.3 は Log4j 2.17 に移動します。
-
Q6:影響を受ける古いリリースにはパッチが適用されますか。
回答:現在、パッチが適用されたすべてのリリースが利用可能です。古いリリースは、ソフトウェアメンテナンスの終了時期を過ぎています。『EoS/EoL Notice for Cisco DNA Center Software Versions 1.0, 1.1, 1.2, and 1.3』[英語] を参照してください。影響を受ける Cisco DNA Center を修正するには、パッチを適用したリリースにアップグレードする必要があります。『Cisco DNA Center Upgrade Guide』[英語] を参照してください。詳細なガイダンスについては、Cisco TAC にお問い合わせください。
-
Q7:私のセキュリティスキャナは、私が CVE-2021-4104 に対して脆弱であることを示しています。何をすればよいですか。
回答:Cisco DNA Center は Log4j 構成への書き込みアクセスを提供せず、JMS アペンダを使用しません。これらは両方とも、この脆弱性を悪用するために必要です。特に対処の必要はありません。詳細については、https://nvd.nist.gov/vuln/detail/CVE-2021-4104 を参照してください。