影響があるBioStar 2バージョン: v2.6.0 ~ 2.8.13

更新日: 2021-12-16


お客様各位


BioStar2のlog4j2によって引き起こされた最近の脆弱性への影響と解決策に取り組みたいと思います。

問題は、log4j2が外部の攻撃から実行される可能性のある潜在的な悪意のあるコードにさらされる可能性があることです。

[脆弱性の詳細へのリンク]


BioStar2も使用するlog4j2によって引き起こされる脆弱性です。この問題をブロックする必要があり、弊社は即時および永続的な解決策を提供します。

パッチファイルをBioStar 2ルートフォルダーに置き換えた後、サーバーを再起動するだけで、問題の原因となったルックアップ機能がBioStar2内部ログで使用されなくなります。


パッチファイルを適用する方法

1. BioStar Settingにてすべてのサービスを停止します。


2. 以下のリンクにてパッチファイルをダウンロードします。

log4j2.yml [パッチファイルリンク]


3. パッチファイルをC:\Program Files\BioStar 2(x64) (64-bit)もしくはC:\Program Files\BioStar 2  (32 bit)に上書きします。


4. BioStar Settingにてすべてのサービスを開始します。 



<2>

BioStar 2.8.14.74ではlog4j2ライブラリがv2.16.0にアップグレードされ、脆弱性が公式に解決されます。

BioStar2ダウンロードリンク 


セキュリティイシュー関するご不明な点がございましたら、bs2support@supremainc.comまでお気軽にお問い合わせください。



BioStar 2バージョンをアップグレードする方法 
BioStar 2は、2.6バージョンから最新バージョンへの直接アップグレードをサポートしています。BioStar 2バージョンが2.6以上の場合は、最新バージョンをダウンロードしてアップグレードを実行できます。ただし、2.5v以下の古いバージョンからさいしんばーアップグレードはサポートしておりません。アップグレードに関する内容は以下のリンクをご確認ください。

[BioStar 2] サーバのアップグレード方法
既存のBioStar2サーバーをアンインストールする必要はありません。システムをアップグレードするには、BioStar2セットアップインストールファイルを実行します。念のため、BioStar 2セットアップファイルを実行する前に、データベース、setting.conf、system.conf、およびenckeyファイルをバックアップしてください。



よくある質問

質問#1:

Suprema BioStarバージョン1.93を使用しています。 現在のバージョンの影響を受ける場合はお知らせください。


回答#1:

BioStar1.93および古いバージョンのBioStar1ソフトウェアは、C ++プログラミングに基づいています。 log4j2の脆弱性の影響はありません。


質問#2:

C:\Program Files\BioStar 2(x64) (64-bit)またはC:\Program Files\BioStar 2  (32 bit)にある既存のlog4j2.ymlを削除する必要がありますか? 


回答#2:

以下のリンクから、ファイルをダウンロードし、パッチファイルを上書きします。

log4j2.yml [ダウンロードリンク]


質問#3:

古いBioStar2ソフトウェアを使用しています。パッチファイルを使用してガイドラインに従う必要がありますか?


回答#3: 

BioStar 2.5以前のバージョンはJavaを使用しないため、関連する脆弱性には該当しません。

影響があるBioStar 2バージョン
log4jバージョン
BioStar 2.6 ~ BioStar 2.8.13log4j(2.10~2.14.1)