影響があるBioStar 2バージョン: v2.6.0 ~ 2.8.13
更新日: 2021-12-16
お客様各位
BioStar2のlog4j2によって引き起こされた最近の脆弱性への影響と解決策に取り組みたいと思います。
問題は、log4j2が外部の攻撃から実行される可能性のある潜在的な悪意のあるコードにさらされる可能性があることです。
BioStar2も使用するlog4j2によって引き起こされる脆弱性です。この問題をブロックする必要があり、弊社は即時および永続的な解決策を提供します。
パッチファイルをBioStar 2ルートフォルダーに置き換えた後、サーバーを再起動するだけで、問題の原因となったルックアップ機能がBioStar2内部ログで使用されなくなります。
パッチファイルを適用する方法
1. BioStar Settingにてすべてのサービスを停止します。
2. 以下のリンクにてパッチファイルをダウンロードします。
log4j2.yml [パッチファイルリンク]
3. パッチファイルをC:\Program Files\BioStar 2(x64) (64-bit)もしくはC:\Program Files\BioStar 2 (32 bit)に上書きします。
4. BioStar Settingにてすべてのサービスを開始します。
<2>
BioStar 2.8.14.74ではlog4j2ライブラリがv2.16.0にアップグレードされ、脆弱性が公式に解決されます。
セキュリティイシュー関するご不明な点がございましたら、[email protected]までお気軽にお問い合わせください。
BioStar 2バージョンをアップグレードする方法
BioStar 2は、2.6バージョンから最新バージョンへの直接アップグレードをサポートしています。BioStar 2バージョンが2.6以上の場合は、最新バージョンをダウンロードしてアップグレードを実行できます。ただし、2.5v以下の古いバージョンからさいしんばーアップグレードはサポートしておりません。アップグレードに関する内容は以下のリンクをご確認ください。
[BioStar 2] サーバのアップグレード方法
既存のBioStar2サーバーをアンインストールする必要はありません。システムをアップグレードするには、BioStar2セットアップインストールファイルを実行します。念のため、BioStar 2セットアップファイルを実行する前に、データベース、setting.conf、system.conf、およびenckeyファイルをバックアップしてください。
よくある質問
質問#1:
Suprema BioStarバージョン1.93を使用しています。 現在のバージョンの影響を受ける場合はお知らせください。
回答#1:
BioStar1.93および古いバージョンのBioStar1ソフトウェアは、C ++プログラミングに基づいています。 log4j2の脆弱性の影響はありません。
質問#2:
C:\Program Files\BioStar 2(x64) (64-bit)またはC:\Program Files\BioStar 2 (32 bit)にある既存のlog4j2.ymlを削除する必要がありますか?
回答#2:
以下のリンクから、ファイルをダウンロードし、パッチファイルを上書きします。
log4j2.yml [ダウンロードリンク]
質問#3:
古いBioStar2ソフトウェアを使用しています。パッチファイルを使用してガイドラインに従う必要がありますか?
回答#3:
BioStar 2.5以前のバージョンはJavaを使用しないため、関連する脆弱性には該当しません。
影響があるBioStar 2バージョン | log4jバージョン |
BioStar 2.6 ~ BioStar 2.8.13 | log4j(2.10~2.14.1) |
質問#4:
log4j2 2.16にはバージョン2.17.0で修正されたDOSの脆弱性がありますが、2.16.0ではなくそのバージョンに変更される予定ですか?
回答#4:
Log4j2.16.0を使用したCVE-2021-45105
このケースは、以下の2点で発生する可能性のある脆弱性です。
1. log4j2.ymlのパターンが次のように設定されている場合:
${ctx:loginId}または$${ctx:loginId}が「PatternLayout」に設定されている場合
2. ThreadContext.put構文を使用した開発の場合
現在、BioStar 2は上記の2つのポイントに該当しないため、現在のバージョンには適用しません。
log4j2バージョン2.17.1へのアップグレードは、BioStar2.8.15に適用されます。
BioStar 2.8.15ダウンロードリンク - リンク
質問#5:
セキュリティツールのセキュリティ上の理由から、log4j2バージョンを2.17.1に更新する必要があります。
更新されたバージョン情報を入手できますか?
回答#5:
BioStar2.8.14のパッチファイルがあります。 v2.8.14に基づくパッチファイルが必要な場合は、このSupremaサポートページでチケットを生成してください。
また、BioStar2.8.15はSupremaのWebサイトでリリースされています。 BioStar2ダウンロードページにアクセスしてください。 (リンク )
質問 #6:
「Suprema指紋スキャナードライバー1」は影響を受けませんか?
回答 #6:
Suprema指紋スキャナードライバーは影響を受けません。
質問 #7:
log4jの脆弱性がBioConnectソフトウェアに影響を与えるかどうかを教えてください。
回答 #7:
BioConnectソフトウェアは、LO4J CVE-2021-14228の脆弱性の影響を受けません。 2021年12月9日に特定され、CVE-2021-44228リファレンスに詳細が記載されているlog4jの脆弱性は、BioConnect EnterpriseにもBioConnect Linkにも影響を与えません。 Log4jは、JAVAを使用して開発されたプログラムで使用され、BioConnectのソフトウェアソリューションでは使用されません。