(公開) 2022年 12月 15日
インフォサイエンス株式会社プロダクト事業部
平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。
マイクロソフト社より2021年6月8日に Windows OS の各製品における DCOM の脆弱性(CVE-2021-26414)について発表(※1)がございました。
また、本ページでは、今後2023年3月15日に掛けて数回にわたり、WindowsUpdate経由でセキュリティパッチが提供されるとともに、DCOMに関する挙動が一部変更される旨、公表されています。
上記の発表に基づき、本脆弱性と弊社製品に関する状況を以下の通り報告いたします。
※1:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26414
2022年12月15日現在の調査状況についてご報告します。(※2)
【調査の結果、本脆弱性の影響を受けないことが判明した製品】
・Logstorage
・Logstorage Agent
・Logstorage Secure Batch Transfer
・Logstorage SBT for WindowsEvent
・Logstorage SBT for Oracle
・Logstorage Logsource Controller
・Logstorage Agent 集中管理ツール
・Logstorage AD ログオン・ログオフスクリプト
・Logstorage X/SIEM
・Logstorage 突合コマンドオプション
・すべての連携パック
【本脆弱性の影響を受けることがある製品】
・Logstorage EventLogCollector
・Logstorage ELC Analytics
※2:バージョンの記載がない製品については、当該製品のリリース済の全バージョンについて影響がないことを確認しております。
Logstorage EventLogCollector(以下「ELC」)、及びLogstorage ELC Analyticsに同梱されるELCでは、Windowsイベントログの収集に当たり、以下のコレクタを提供しています。
・Windowsイベント(Win32API)コレクタ
・Windowsイベント(ログソースモジュール)コレクタ
・Windowsイベント(WMI)コレクタ
・Windowsイベント(wevtutil)コレクタ
そのうち、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタについては、OSのDCOM機能を用いて、ネットワークを経由して収集対象サーバからイベントログを収集しています。
本件のパッチが適用され、挙動が変更される場合、ELCからログ収集対象への認証が失敗し、ログが収集できなくなるケースを確認しております。
ELC実行機と収集対象の本対策の有効・無効のそれぞれの組み合わせに応じて、以下の挙動となることを確認しました。
2022年12月現在でWindowsUpdateより提供されているパッチでは、本対策は既定値として「有効」となりますが、レジストリの変更により「無効」とすることが可能と案内されています。
2023年3月15日に提供される予定のパッチでは、設定にかかわらず、パッチを適用したすべてのWindowsOSで強制的に「有効」となることが案内されています。
ついては、Windowsイベント(Win32API)コレクタ、Windowsイベント(WMI)コレクタ、Windowsイベント(wevtutil)コレクタを用いてイベントログを収集している環境では、以下のいずれかの対応が必要となります。
・ログ収集対象機にパッチを適用する場合は、ELC実行機もパッチを適用する
・ELC実行機にパッチを適用しない場合は、ログ収集対象機のパッチを適用しない
・収集手段をWindowsイベント(ログソースモジュール)コレクタに変更する
なお、すでにサポートが終了しているWindows Server 2008、同 R2 などのOSはマイクロソフト社からはパッチが提供されません。
現時点でマイクロソフト社からのサポートが終了しているWindows Server OS にELCをインストールして稼働させているお客様に於かれましては、2023年3月15日にマイクロソフト社からのパッチの適用について、対応のご検討をお願いいたします。
お問い合わせにつきましては、弊社サポートセンターまでお問い合わせください。
サポートセンターについては、以下URLからご確認ください。
https://logstorage.com/support/service/
本内容は2022年12月15日までに発表された内容に基づき公開しております。
脆弱性についての公開状況が変わった場合は、本内容も変更される場合がございます。
変更される場合は、本URLにて更新を行います。
以上