Logstorage EventLogCollector、Logstorage ELC Analyticsに対するWindows DCOM脆弱性の影響について | 【公式】統合ログ管理システム Logstorage

Logstorage EventLogCollector、Logstorage ELC Analyticsに対するWindows DCOM脆弱性の影響について


(公開) 2022年 12月 15日

インフォサイエンス株式会社
プロダクト事業部

 平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。

    マイクロソフト社より202168日に Windows OS の各製品における DCOM の脆弱性(CVE-2021-26414)について発表(※1)がございました。

    また、本ページでは、今後2023315日に掛けて数回にわたり、WindowsUpdate経由でセキュリティパッチが提供されるとともに、DCOMに関する挙動が一部変更される旨、公表されています。

    上記の発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。

※1:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26414

1. 本脆弱性について

1.1. 弊社製品への影響について

 202212月15日現在の調査状況についてご報告します。(※2

【調査の結果、本脆弱性の影響を受けないことが判明した製品】

・Logstorage

Logstorage Agent

Logstorage Secure Batch Transfer

Logstorage SBT for WindowsEvent

Logstorage SBT for Oracle

Logstorage Logsource Controller

Logstorage Agent 集中管理ツール

Logstorage AD ログオン・ログオフスクリプト

Logstorage X/SIEM

Logstorage 突合コマンドオプション

・すべての連携パック 

【本脆弱性の影響を受けることがある製品】

Logstorage EventLogCollector

Logstorage ELC Analytics

2:バージョンの記載がない製品については、当該製品のリリース済の全バージョンについて影響がないことを確認しております。

1.2. 影響について

    Logstorage EventLogCollector(以下「ELC」)、及びLogstorage ELC Analyticsに同梱されるELCでは、Windowsイベントログの収集に当たり、以下のコレクタを提供しています。

Windowsイベント(Win32API)コレクタ

Windowsイベント(ログソースモジュール)コレクタ

Windowsイベント(WMI)コレクタ

Windowsイベント(wevtutil)コレクタ

    そのうち、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタについては、OSDCOM機能を用いて、ネットワークを経由して収集対象サーバからイベントログを収集しています。

    本件のパッチが適用され、挙動が変更される場合、ELCからログ収集対象への認証が失敗し、ログが収集できなくなるケースを確認しております。

    ELC実行機と収集対象の本対策の有効・無効のそれぞれの組み合わせに応じて、以下の挙動となることを確認しました。

ELC実行機
ログ収集対象機ログ収集処理
有効有効問題なく実行できる
有効無効問題なく実行できる
無効有効実行に失敗する
無効無効問題なく実行できる

    202212月現在でWindowsUpdateより提供されているパッチでは、本対策は既定値として「有効」となりますが、レジストリの変更により「無効」とすることが可能と案内されています。

    2023315日に提供される予定のパッチでは、設定にかかわらず、パッチを適用したすべてのWindowsOSで強制的に「有効」となることが案内されています。

    ついては、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタを用いてイベントログを収集している環境では、以下のいずれかの対応が必要となります。

・ログ収集対象機にパッチを適用する場合は、ELC実行機もパッチを適用する

ELC実行機にパッチを適用しない場合は、ログ収集対象機のパッチを適用しない

・収集手段をWindowsイベント(ログソースモジュール)コレクタに変更する

 なお、すでにサポートが終了しているWindows Server 2008、同 R2 などのOSはマイクロソフト社からはパッチが提供されません。

 現時点でマイクロソフト社からのサポートが終了しているWindows Server OS ELCをインストールして稼働させているお客様に於かれましては、2023315日にマイクロソフト社からのパッチの適用について、対応のご検討をお願いいたします。

2. 連絡先

お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。

サポートセンターについては、以下URLからご確認ください。

https://logstorage.com/support/service/

3. その他

本内容は202212月15日までに発表された内容に基づき公開しております。

脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。

変更される場合は、本URLにて更新を行います。

以上

       
PAGE TOP