Logstorage EventLogCollector、Logstorage ELC Analyticsに対するWindows DCOM脆弱性の影響について | 【公式】統合ログ管理システム Logstorage

Logstorage EventLogCollector、Logstorage ELC Analyticsに対するWindows DCOM脆弱性の影響について

(公開) 2022年 12月 15日

インフォサイエンス株式会社
プロダクト事業部

 平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

    マイクロソフト社より202168日に Windows OS の各製品における DCOM の脆弱性(CVE-2021-26414)について発表(※1)がございました。

    また、本ページでは、今後2023315日に掛けて数回にわたり、WindowsUpdate経由でセキュリティパッチが提供されるとともに、DCOMに関する挙動が一部変更される旨、公表されています。

    上記の発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。

1. 本脆弱性について

1.1. 弊社製品への影響について

 202212月15日現在の調査状況についてご報告します。(※2

【調査の結果、本脆弱性の影響を受けないことが判明した製品】

・Logstorage

Logstorage Agent

Logstorage Secure Batch Transfer

Logstorage SBT for WindowsEvent

Logstorage SBT for Oracle

Logstorage Logsource Controller

Logstorage Agent 集中管理ツール

Logstorage AD ログオン・ログオフスクリプト

Logstorage X/SIEM

Logstorage 突合コマンドオプション

・すべての連携パック 

【本脆弱性の影響を受けることがある製品】

Logstorage EventLogCollector

Logstorage ELC Analytics

2:バージョンの記載がない製品については、当該製品のリリース済の全バージョンについて影響がないことを確認しております。

1.2. 影響について

    Logstorage EventLogCollector(以下「ELC」)、及びLogstorage ELC Analyticsに同梱されるELCでは、Windowsイベントログの収集に当たり、以下のコレクタを提供しています。

Windowsイベント(Win32API)コレクタ

Windowsイベント(ログソースモジュール)コレクタ

Windowsイベント(WMI)コレクタ

Windowsイベント(wevtutil)コレクタ

    そのうち、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタについては、OSDCOM機能を用いて、ネットワークを経由して収集対象サーバからイベントログを収集しています。

    本件のパッチが適用され、挙動が変更される場合、ELCからログ収集対象への認証が失敗し、ログが収集できなくなるケースを確認しております。

    ELC実行機と収集対象の本対策の有効・無効のそれぞれの組み合わせに応じて、以下の挙動となることを確認しました。

ELC実行機
ログ収集対象機ログ収集処理
有効有効問題なく実行できる
有効無効問題なく実行できる
無効有効実行に失敗する
無効無効問題なく実行できる

    202212月現在でWindowsUpdateより提供されているパッチでは、本対策は既定値として「有効」となりますが、レジストリの変更により「無効」とすることが可能と案内されています。

    2023315日に提供される予定のパッチでは、設定にかかわらず、パッチを適用したすべてのWindowsOSで強制的に「有効」となることが案内されています。

    ついては、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタを用いてイベントログを収集している環境では、以下のいずれかの対応が必要となります。

・ログ収集対象機にパッチを適用する場合は、ELC実行機もパッチを適用する

ELC実行機にパッチを適用しない場合は、ログ収集対象機のパッチを適用しない

・収集手段をWindowsイベント(ログソースモジュール)コレクタに変更する

 なお、すでにサポートが終了しているWindows Server 2008、同 R2 などのOSはマイクロソフト社からはパッチが提供されません。

 現時点でマイクロソフト社からのサポートが終了しているWindows Server OS ELCをインストールして稼働させているお客様に於かれましては、2023315日にマイクロソフト社からのパッチの適用について、対応のご検討をお願いいたします。

2. 連絡先

お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。

サポートセンターについては、以下URLからご確認ください。

3. その他

本内容は202212月15日までに発表された内容に基づき公開しております。

脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。

変更される場合は、本URLにて更新を行います。

以上

       
PAGE TOP