重大なセキュリティ脆弱性（CVE-2021-44832、-45105、-45046、-44228）のパッチ

Analytics Exchange は Apache Log4j を使用します。結果として、次の一覧の Log4j の重大なセキュリティ脆弱性の影響を受けます。

この脆弱性の一覧は、以前のパッチが不完全であることが判明したときに大きくなりました。Analytics Exchange の上記の脆弱性をすべて軽減するパッチを用意しました。

パッチについて

このパッチは Log4j のプロバイダーである Apache からの正式リリースです。Analytics Exchange の CVE-2021-44832、CVE-2021-45105、CVE-2021-45046、CVE-2021-44228 をただちに軽減します。

脆弱な Analytics Exchange のバージョン

すべてのバージョンの Analytics Exchange が影響を受けます。インストールしたバージョンに関係なく、今すぐ脆弱性の状況を解決することをお勧めします。

以下の表は、別のバージョンの Analytics Exchange のアップグレードパスについて説明します。

現在インストールされている Analytics Exchange	アクション	結果
Analytics Exchange 15.1.0	log4j-2.17.1-patch-ax.zip を使用してバージョン 15.1.0 のパッチを手動で適用する詳細と手順については、以下を参照してください。メモ Analytics Exchange インストーラーを使用したバージョン 15.1.0 から 15.1.1 へのアップグレードはサポートされていません。手動のパッチを使用してください。	Analytics Exchange 15.1.0 のパッチが適用され、15.1.1 へのアップグレードは不要です
Analytics Exchange 14.x	AX Server 15.1.1 インストーラー（ACLAX1511_Server_<edition>.exe）を実行します。 AX Engine Node も使用している場合は、AX Engine Node 15.1.1 インストーラー（ACLAX1511_EngineNode_<edition>.exe）を実行します。詳細については、AX Server のアップグレードを参照してください。	Analytics Exchange がバージョン 15.1.1 にアップグレードされます
Analytics Exchange 13	ヘルプについては、サポートへお問い合わせください。メモ Analytics Exchange 15.1.1 インストーラーを使用して、バージョン 13 から 15.1.1 に直接アップグレードすることはできません。

現在インストールされている Analytics Exchange

アクション

結果

Analytics Exchange 15.1.0

log4j-2.17.1-patch-ax.zip を使用してバージョン 15.1.0 のパッチを手動で適用する

詳細と手順については、以下を参照してください。

メモ

Analytics Exchange インストーラーを使用したバージョン 15.1.0 から 15.1.1 へのアップグレードはサポートされていません。手動のパッチを使用してください。

Analytics Exchange 15.1.0 のパッチが適用され、15.1.1 へのアップグレードは不要です

Analytics Exchange 14.x

AX Server 15.1.1 インストーラー（ACLAX1511_Server_<edition>.exe）を実行します。

AX Engine Node も使用している場合は、AX Engine Node 15.1.1 インストーラー（ACLAX1511_EngineNode_<edition>.exe）を実行します。

詳細については、AX Server のアップグレードを参照してください。

Analytics Exchange がバージョン 15.1.1 にアップグレードされます

Analytics Exchange 13

ヘルプについては、サポートへお問い合わせください。

メモ

Analytics Exchange 15.1.1 インストーラーを使用して、バージョン 13 から 15.1.1 に直接アップグレードすることはできません。

パッチをインストールする方法

AX Server がインストールされているサーバーでパッチをインストールする必要があります。AX Engine Node がインストールされている別のサーバーでもパッチをインストールする必要があります。

パッチをインストールするには次の手順を実行します。

AX Server Windows サービスを停止します。
脆弱性があるファイルを置き換えます。
ログファイルを削除します。
AX Server Windows サービスを再起動します。

詳細な手順は次のとおりです。

1. AX Server Windows サービスを停止する

AX Server または AX Engine Node がインストールされているサーバーで、［管理ツール］ダイアログボックスから［サービス］ウィンドウを開きます。
サービスの一覧にある以下の各サービスを右クリックし、［停止］を選択します。
メモ
次の順序でサービスを停止する必要があります。
- Analytics Exchange Connector
- ACL Analytics Exchange Service
- Analytics Exchange データベース（PostgreSQL インストールのみ）
AX Engine Node には上記の 3 つのサービスのうち 2 つのみがあります。Analytics Exchange Database サービスはありません。

2. 脆弱性があるファイルを置き換える

AX Server では、手動でパッチをインストールするか、指定したバッチスクリプトを使用できます。

AX Engine Node では手動の方法を使用する必要があります。

バッチスクリプト方式

AX Server がインストールされているサーバーにこの zip 圧縮されたフォルダーをダウンロードします。
このフォルダーには、*jar ファイルとバッチスクリプトが含まれています。
C:/temp/patch などの簡単な場所でフォルダーを解凍します。
Windows コマンドプロンプトを開きます。管理者モードは不要です。
作成したフォルダーに移動します。
たとえば、C:/temp/patch に解凍した場合は、次のように入力します。
```
cd c:\temp\patch
```
作成したフォルダーからバッチスクリプトを実行します。
- AX Server はデフォルトの場所（C:\ACL\APP\Tomcat）にインストールされている場合は、次のように入力します。
```
.\do_replace.bat
```
- AX Server が別の場所にインストールされている場合は、コマンドでその場所を指定します。たとえば、AX Server が D:\ACL\APP\Tomcat にインストールされている場合は、次のように入力します。
```
.\do_replace.bat D:\ACL\APP\Tomcat
```

手動の方法

AX Server または AX Engine Node がインストールされているサーバーにこの zip 圧縮されたフォルダーをダウンロードします。このフォルダーには、*jar ファイルが含まれています。
フォルダーを解凍します。
そのサーバーで、Tomcat インストールフォルダーに移動します。
デフォルトの場所は C:\ACL\APP\Tomcat ですが、別の場所にインストールされている可能性があります。

次のサブフォルダーで、名前に log4j が含まれているすべての *.jar ファイルを、ダウンロードした新しいバージョンのファイルで置換します。新しいバージョンはファイル名に 2.17.1 が含まれています。

メモ

AX Engine Node にパッチを適用するには、C:\ACL\App\Tomcat\axlib の *.jar ファイルのみを置換する必要があります。一覧の他のサブフォルダーは AX Engine Node には該当しません。

サブフォルダー	アクション
C:\ACL\App\Tomcat\axlib	フォルダーの 6 つの log4j *.jar ファイルをすべて置換します。
C:\ACL\App\Tomcat\webapps\aclconfig\WEB-INF\lib	log4j-slf4j-impl-<version>.jar を log4j-slf4j-impl-2.17.1.jar で置換します。
C:\ACL\App\Tomcat\webapps\auditexchange\WEB-INF\lib	フォルダーの 5 つの log4j *.jar ファイルをすべて置換します。メモこのフォルダーには置換する log4j-jcl-<version>.jar ファイルがありません。
C:\ACL\App\Tomcat\webapps\gateway-backend\WEB-INF\lib	log4j-slf4j-impl-<version>.jar を log4j-slf4j-impl-2.17.1.jar で置換します。
C:\ACL\App\Tomcat\webapps\gateway\WEB-INF\lib	フォルダーの 4 つの log4j *.jar ファイルをすべて置換します。メモこのフォルダーには置換する log4j-slf4j-impl-<version>.jar or log4j-jcl-<version>.jar ファイルがありません。
C:\ACL\App\Tomcat\webapps\cas\WEB-INF\lib	フォルダーの 5 つの log4j *.jar ファイルをすべて置換します。メモこのフォルダーには置換する log4j-1.2-api-<version>.jar ファイルがありません。

3. ログファイルを削除する

C:\ACL\App\Tomcat\logs フォルダーを開き、含まれるすべてのログファイルを削除します。

4. AX Server Windows サービスの再起動

［管理ツール］ダイアログボックスから［サービス］ウィンドウを開きます。
サービスの一覧にある以下の各サービスを右クリックし、［開始］を選択します。
メモ
次の順序でサービスを開始する必要があります。
- Analytics Exchange データベース（PostgreSQL インストールのみ）
- ACL Analytics Exchange Service
- Analytics Exchange Connector
AX Engine Node には上記の 3 つのサービスのうち 2 つのみがあります。Analytics Exchange Database サービスはありません。
C:\ACL\App\Tomcat\logs のログファイルを確認し、エラーがないことを確認します。

Analytics にもパッチを提供する必要がある場合があります

Analytics Exchange がインストールされている場合は、通常は組織でデスクトップアプリケーションの Analytics を使用しています。Analytics のインストールにもパッチを適用するかアップグレードしてください。ヘルプについては、Analytics にパッチを適用する手順を参照してください。

重大なセキュリティ脆弱性（CVE-2021-44832、-45105、-45046、-44228）のパッチ

パッチについて

脆弱な Analytics Exchange のバージョン

パッチをインストールする方法

1. AX Server Windows サービスを停止する

2. 脆弱性があるファイルを置き換える

バッチスクリプト方式

手動の方法

3. ログファイルを削除する

4. AX Server Windows サービスの再起動

Analytics にもパッチを提供する必要がある場合があります

ページオプション

このページは役に立ちましたか。

このページは役に立ちましたか。

重大なセキュリティ脆弱性（CVE-2021-44832、-45105、-45046、-44228）のパッチ

パッチについて

脆弱な Analytics Exchange のバージョン

パッチをインストールする方法

1. AX Server Windows サービスを停止する

2. 脆弱性があるファイルを置き換える

バッチ スクリプト方式

手動の方法

3. ログ ファイルを削除する

4. AX Server Windows サービスの再起動

Analytics にもパッチを提供する必要がある場合があります

ページ オプション

このページは役に立ちましたか。

このページは役に立ちましたか。

バッチスクリプト方式

3. ログファイルを削除する

ページオプション