Apache Log4j2 脆弱性(Log4shell) - Tableau Bridge 改善手順

オプション１：Tableauを更新する

• ライセンスのメンテナンス期間が有効なお客様は、影響のあるバージョン（2021/12/15より前のすべてのバージョン)からアップデートしていない場合、または2021/12/15の製品リリースにアップデートしている場合は、より新しいリリースの該当製品にアップデートしてください。

2021/12/15のTableau製品リリースにて、Log4j2のファイルがバージョン2.15に更新されました。まだ付属のコンポーネントが残っている可能性があります。それらのコンポーネントに対して影響を軽減させるためJNDIの機能を無効にする変更をしました。

• Tableau Bridge 20214.21.1214.2057

2021/12/19のTableau製品リリースにて、Log4j 2.16が組み込まれJNDJの機能がデフォルトで無効になりました。これによりCVE-2021-44228 と CVE-2021-45046 に対する対応がされています。

• Tableau Bridge 20214.21.1109.1748

上記2021/12/19の製品リリースにアップグレードすることで、CVE-2021-44228 及び CVE-2021-45046で判明しているセキュリティ問題に対応できます。
 

オプション２：下記の場合はオプション2の改善手順を実行してください。

• 2021/12/15の製品リリースにアップデートしたが、より新しい製品リリースにアップデートできない場合（メンテナンス契約や期限が切れている場合など）。
• 影響のあるバージョン（2021/12/15より前のすべてのバージョン)を使用していて、より新しい製品リリースにアップデートできない場合
• この手順はバージョン2020.1以降のみに対応しています。

Tableau Bridge

1.  7zip をダウンロードして c:\7zip にインストールします。
2. 管理PowerShell ウィンドウを開きます。
3. Tableau Bridge のbin ディレクトリに移動します。デフォルトは C:\Program Files\Tableau\Tableau Bridge\bin です。

cd C:\Program Files\Tableau\Tableau Bridge\bin 

4. jdbcserver.jarに対するReadOnlyを無効にします。

Set-ItemProperty jdbcserver.jar -Name IsReadOnly -Value $false 

5. oauthservice.jarに対するReadOnlyを無効にします。

Set-ItemProperty oauthservice.jar -Name IsReadOnly -Value $false

6. jdbcserverからJndiLookup.classを削除します。

c:\7zip\7z d jdbcserver.jar org/apache/logging/log4j/core/lookup/JndiLookup.class -r 

7. oauthserviceからJndiLookup.classを削除します。

c:\7zip\7z d oauthservice.jar org/apache/logging/log4j/core/lookup/JndiLookup.class -r

Set-ItemProperty jdbcserver.jar -Name IsReadOnly -Value $true 

9. oauthservice.jarに対するReadOnlyを有効に設定します。

Set-ItemProperty oauthservice.jar -Name IsReadOnly -Value $true 

10. Tableau Bridge のbin32 ディレクトリに移動します。デフォルトは C:\Program Files\Tableau\Tableau Bridge\bin32　です。

cd C:\Program Files\Tableau\Tableau Bridge\bin32

11. jdbcserver.jarに対するReadOnlyを無効にします。

Set-ItemProperty jdbcserver.jar -Name IsReadOnly -Value $false

12. oauthservice.jarに対するReadOnlyを無効にします。

Set-ItemProperty oauthservice.jar -Name IsReadOnly -Value $false

13. jdbcserverからJndiLookup.classを削除します。

c:\7zip\7z d jdbcserver.jar org/apache/logging/log4j/core/lookup/JndiLookup.class -r 

14. oauthserviceからJndiLookup.classを削除します。

c:\7zip\7z d oauthservice.jar org/apache/logging/log4j/core/lookup/JndiLookup.class -r

15. jdbcserver.jarに対するReadOnlyを有効に設定します。

Set-ItemProperty jdbcserver.jar -Name IsReadOnly -Value $true

16. oauthservice.jarに対するReadOnlyを有効に設定します。

Set-ItemProperty oauthservice.jar -Name IsReadOnly -Value $true
 

ファイルが削除されたことの確認方法：
1) 上記の手順を全て順番通り再実行します。
2) JndiLookuup.classファイルを削除するコマンドの出力（ステップ6, 7, 13, 14）に複数回実行しても“Delete data from archive” の行がない場合は、ファイルは削除済のため改善手順は完了です。 

例：
ファイルが初めて削除された場合、"Delete data from archive line item"の行が表示されます。

コマンドが二回目に実行された場合、“Delete data from archive”の行は表示されません。