Wowza Streaming Engine リリースノート
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2021年12月10日(金)、Wowza Streaming Engineのサードパーティ製コンポーネントが CVE(Common Vulnerability and Exposure) リストに掲載され、 Apache Log4j2 v2.0-2.15を搭載したシステムにリモートコード実行の脆弱性が存在することが確認されました。
※ この脆弱性は、2021年12月21日にリリースされた Wowza Streaming Engine 4.8.17より改善されました。Wowza Streaming Engine 4.8.17 のリリースノートをご確認ください。
1. 脅威の概要 〜 Apache Log4j2 のセキュリティ脆弱性 (CVE-2021-44228 & CVE-2021-45046)
Wowza Streaming Engine 4.8.8.01以降を使用しているシステムは、ログイン情報を持たないネットワーク経由で悪用される危険性があります。
JNDI機能に関するセキュリティ上の脆弱性(CVE-2021-44228)があるバージョンのApache Log4j2を使⽤しており、設定、ログメッセージ、パラメータに使用されているJNDI機能は、攻撃者に制御されたLDAPやその他のJNDI関連のエンドポイントから保護されていません。
ログメッセージやログメッセージのパラメーターを制御できる攻撃者は、メッセージのルックアップ置換が有効な場合、LDAPサーバーからロードされた任意のコードを実行できます。
・影響範囲: 2020年12⽉にリリースされた、Wowza Streaming Engine 4.8.8.01以降
バージョン4.8.8.01には、ロギングフレームワークのApache Log4j1.xからApacheLog4j2への更新が含まれます。それ以前のバージョンではApache Log4j1.xを使⽤しており今回のLog4j2の脆弱性の影響を受けないとされています。(「Log4j 1.x系については、Lookup機能が含まれておらず、外部⼊⼒値由来のクラス情報がデシリアライズされないため影響を受けない」とのこと)
ご参考)Wowza Streaming Engine 4.8.8.01 Release Notes
https://www.wowza.com/docs/wowza-streaming-engine-4-8-8-01-release-notes
ただし、Wowza Streaming Engine Managerはメインのlibフォルダからjarファイルを読み込む仕様であり、メインのサーバー側に対策(アップデータを適⽤)すれば、それがWowza Streaming Engine Managerの対策にもなります。
※Wowza Streaming Engine ManagerはWowza Streaming Engineソフトウェアの管理や設定操作のためのWeb UI(管理画⾯)です。
ご参考)Which Wowza versions are vulnerable to CVE-2021-44228 for log4j and log4j2?
2.1. 対策
この問題の対策につきまして、
Wowza Streaming Engine 4.8.5.05以下をご利用の場合、この脆弱性による影響はありません。
Wowza Streaming Engine 4.8.8.01以上をご利用の場合、下記の手順でアップデートしてください。
・LinuxおよびmacOSのアップデート
① Wowza Streaming Engineのサービスを停止し、アップデートファイルをダウンロードします。
② .zipファイルの内容を解凍し、updatelog4jフォルダを[install-dir]/updates 内にコピーします。
*[install-dir]はWowza Streaming Engine がインストールされているディレクトリです。
③ ターミナルを開き、アクティブディレクトリをupdatelog4j.shの場所に変更します。
c d [install-dir]/updates/updatelog4j
④ sudo権限を持っているアカウント(rootなど)で以下のコマンドを実行します。
sudo ./updatelog4j.sh
コマンドラインの指示に従い、以下のような画面が表示されます。
⑤ Wowza Streaming Engineのサービスを開始します。
・Windowsのアップデート
① Wowza Streaming Engineのサービスを停止し、アップデートファイルをダウンロードします。
② アップデータの.zipファイルを解凍し、お好みの場所にコピーします。
例:[install-dir ]/updates([install-dir]はWowza Streaming Engineのインストールディレクトリ)
③ 管理者権限でコマンドプロンプト(cmd)を開き、updatelog4j.batのある場所に移動します。
cd [install-dir]/updates/updatelog4j
④以下のコマンドを実行して、アップデートを適用します。
updatelog4j.bat
コマンドラインの指示に従い、以下のような画面が表示されます。
⑤ Wowza Streaming Engineのサービスを開始します。
ご参考) Update to fix the Apache Log4j2 security vulnerability
https://www.wowza.com/docs/update-for-apache-log4j2-security-vulnerability
2. 2. Wowza Streaming Engine バージョン確認⽅法
Wowza Streaming Engine Manager(管理画⾯)にログインして、「Server」 タブの「About」を開くとバージョン番号が記載されています。 もしくは、ウェブブラウザから下記のアドレスを開いて、バージョン番号を確認できます。
http://[wowza-ip-address]:1935/ServerVersion
バージョン番号が「4.8.8.01またはそれ以降」であれば、当該の脆弱性問題が関係するため対策(アップデートの適⽤)の実施が推奨されます。 それよりも古いバージョンであれば当該の脆弱性問題は関係せず、対策の必要はありません。
ご参考) View or disable the display of the Wowza Streaming Engine version number
https://www.wowza.com/docs/how-to-disable-display-of-wowza-media-server-version-number
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
日本デジタル・プロセシング・システムズ株式会社 東京都新宿区新宿2丁目5−12 FORECAST新宿AVENUE 6F東京都港区新橋 6-19-13 1F TEL(代): 03-6746-0231 |
||
Copyright © 2021, Digital Processing Systems Japan K.K. All rights reserved. |