背景

UCM 6.0.3リリース以前は、UCM Web Accessのシングルサインオン機能を利用するために、ChromiumベースのブラウザにUSO Chrome Extensionをインストールする必要がありました。

現在、UCMのお客様はUSO Chrome Extension（Manifest V2）を使用しています。

* USO Chrome Extension (Manifest V2)をブラウザにインストールされているお客様は、Googleが今後Manifest V2拡張機能を順次無効化することを発表しておりますので、ご注意ください。

上記を踏まえ、USO Chrome Extension (Manifest V2)に依存しないようにUCMクライアントをアップグレードする必要があります。すべての必要な機能は、UCM Chrome Extension（Manifest V3）を使用して引き続き利用可能です。そのため、ユーザーは適宜アップグレードすることをお勧めします。

UCM Chrome Extension (Manifest V3)の特徴：

• ChromiumベースのブラウザからUCM Web Accessを使用している場合に、UCMクライアントとのインタラクションを可能にします。
• Chromiumベースのブラウザランチャーからのシングルサインオンを可能にします。

ソリューション

UCM 6.0.3以降、UCMではUSO Chrome Extensionが使用されなくなります。クライアント側での展開を簡素化するために、UCM Chrome Extension（Manifest V3）のみが使用されます。

サポートバージョン：

• UCM 6.0.5.0520-GA
• UCM 6.0.4.0416-GA-E03
• UCM 6.0.3.0319-GA-E12

既存ユーザーへのアップグレードのご提案:

• CM 6.0.4をご利用の方は、UCM 6.0.4.0416-GA-E03または最新のUCMバージョンにアップグレードしてください。
• UCM 6.0.3をご利用の方は、UCM 6.0.3.0319-GA-E12または最新のUCMバージョンにアップグレードしてください。
• UCM 5.6.2をご利用の方は、UCM 5.6.2.6209-GA-E17-U04または最新のUCMバージョンにアップグレードしてください。
• UCM 5.6.4をご利用の方は、UCM 5.6.4.6406-GA-U02または最新のUCMバージョンにアップグレードしてください。
• UCM 5.6.8をご利用の方は、UCM 5.6.8.6807-GA-E16-U33または最新のUCMバージョンにアップグレードしてください。

注意: UCM 5.6.X（ただし、アップグレード可能なパッチパッケージが提供されているバージョン5.6.2、5.6.4、5.6.8を除く）のバージョンをご利用の場合、USO Chrome Extension Manifest V2のみがサポートされます。

よくある質問：

Q1. ChromiumベースのブラウザにUCM Chrome Extensionをインストールする方法を教えてください。

インストール方法は以下の通りです：

1. Google Chrome ウェブストアにアクセスしてください。（URL：https://chrome.google.com/webstore）
2. UCM Chrome Extension」を検索し、「Chromeに追加」をクリックしてください。

Q2. Chromiumベースのブラウザランチャーの設定方法を教えてください。

設定手順は以下の通りです：

UCMコンソールにログインし、Chromium-based Browser Launcherを作成し、必要項目を入力します：

1. 「*サーバーホスト名またはIPアドレス」のフィールドに、対象リソースのIPアドレスを入力してください。
2. 「*起動URL」のフィールドに、対象リソースの起動URLを入力してください（例：「/login.php」）。
3. 関連する「*JavaScriptコード」フィールドに必要なコードを入力してください。サンプルコード　ログイン用「*JavaScriptコード」を参考して下さい。

• v1=this.document.getElementById(「user_login」);v1.value=userid；
• v2=this.document.getElementById(「user_pass」);v2.value=oldpwd；
• v3=this.document.getElementById(「submit」);v3.click()；

「userid」 と 「oldpwd 」は、対応するクレデンシャルの 「ユーザーID」と 「パスワード」に変更してください。

注意事項 このランチャーを使用するには、UCM Connector Gatewayがサーバ側にインストールされていることを確認してください。

このランチャーに対応するコネクタのタイプは、Web Portal Connector with Chromeです。

Q3. UCMをアップデートしない場合、どのような影響がありますか？

USO Chrome ExtensionはManifest V2に依存しているため、そのサポートはGoogleがManifest V2エクステンションを無効にする日付に依存します。その後、UCM顧客がUCM Web Accessにログインしようとすると、UCMクライアントで「オフライン」の問題が発生します。

解決方法:

現在使用しているUCMのバージョンに利用可能なパッチパッケージがあるかどうかを確認する必要があります。利用可能なパッチパッケージがある場合は、そのパッチを使用してアップグレードを進めることができます。現在使用しているUCMバージョンに対応するパッチパッケージがない場合は、「実行バージョン」で指定したUCMバージョンにアップグレードする必要があります。

概要

Apache が最新の Log4j2 脆弱性（https://logging.apache.org/log4j/2.x/security.html）に対処するため、Log4j2 の最新パッチ（バージョン 2.17.0）をリリースしたことにお気づきかもしれない。

Apache Log4j2オープンソースライブラリは、AccessMatrixで使用されています。Log4j2の脆弱性の影響を受けるのは、AccessMatrixのバージョン5.6.5から5.7.1のみです。

i-Sprintでは、AccessMatrix AM Serverおよびその他のAM Webアプリケーション（CLP / OAuthProxy / USO Server / USO SSF / UAS TAP）バージョン5.6.5～5.7.1をご利用のお客様に対し、脆弱性を軽減するため、以下の情報をご確認頂くことを推奨いたします。

脆弱性情報

AccessMatrixバージョン5.6.5～5.7.1は、Apache Log4j2 2.11.2以降にバンドルされています。これらのバージョンは、最近のApache Log4j2のセキュリティ脆弱性の影響を受けます。バンドルされているApache Tomcatの展開では、影響を受けるバージョンはデフォルトでJava 8以上にバンドルされています。Apacheは、Log4j2の脆弱性問題に対処するためのパッチを提供しています：

• CVE-2021-44228 – AccessMatrix 5.6.5 から 5.7.1 が影響を受けます。Apache は、恒久的な緩和策として Log4j2 2.15.0 をリリースしており、AccessMatrix 5.6.5 から 5.7.1 は、この Log4j2 2.15.0 へのバンドルされた Log4j2 の直接パッチをサポートしています。
• CVE-2021-45046 – AccessMatrix 5.6.5 から 5.7.1 が影響を受けます。Apache は、恒久的な緩和策として Log4j2 2.15.0 をリリースしており、AccessMatrix 5.6.5 から 5.7.1 は、この Log4j2 2.15.0 へのバンドルされた Log4j2 の直接パッチをサポートしています。
• CVE-2021-45105 – AccessMatrix 5.xは、デフォルトでは影響を受けません。AccessMatrixバージョン5.xのロギング設定は、コンテキスト検索（${ctx:loginId}や$${ctx:loginId}のような）を含んでいません（注: 確認のために、am5/WEB-INF/classes/amlog4j2.properties の内容を参照することができます）。 プロパティのような); Apacheは、恒久的な緩和としてLog4j2 2.17.0をリリースし、AccessMatrix 5.xは、このLog4j2 2.17.0へのバンドルされたLog4j2の直接パッチをサポートします。

結論

• AccessMatrix 5.6.5から5.7.1（Java 8以降を使用）をご利用の場合、上記で公開されたセキュリティ脆弱性に対する恒久的な対策として、AccessMatrixにバンドルされているLog4j2を直接2.17.0にパッチ適用してください。
• AccessMatrix 5.6.5から5.7.1（Java 7以前を使用）をご利用の場合は、i-Sprintのグローバルサポートコンサルタントにご相談ください。
• AccessMatrix 5.6.4以前については、対処の必要はありません。

恒久的な対策

まず、現在のAccessMatrixのバージョンを確認し、上記のLog4j2の脆弱性の影響を受けるかどうかを判断する必要があります。そのためには、AccessMatrix管理コンソールにアクセスし、「ヘルプ」→「バージョン情報」メニューオプションをクリックします。AccessMatrixについて」ダイアログボックスに現在のAMサーバーのバージョンが表示されます。

リンクをクリックして、以下のパッチファイルをダウンロードしてください：

• Log4j2 v2.17.0

上記のリンクからダウンロードできない場合は、Apacheの公式サイトhttps://www.apache.org/dyn/closer.lua/logging/log4j/2.17.0/apache-log4j-2.17.0-bin.zip

パッチを適用したファイルをダウンロードしたら、以下の手順に従って3つのJARにパッチを適用してください：

1. 高可用性(HA)アーキテクチャで稼動している AM Server の各サービスに対して、順番に以下を適用してください。
2. AM Server サービスを停止します。
3. am5/WEB-INF/libから以下の3つのファイルを削除する（バックアップのため、現在のam5 web appフォルダ以外のフォルダに移動する必要があります）：

• • oss-org-apache-log4j-core-2.12.0.jar or log4j-core-2.12.0.jar
  • oss-org-apache-log4j-api-2.12.0.jar or log4j-api-2.12.0.jar
  • oss-org-apache-log4j-1.2-api-2.12.0.jar or log4j-1.2-api-2.12.0.jar

4. ダウンロードしたパッチファイルから、以下の3つのファイルをam5/WEB-INF/libにコピーします:
   • oss-org-apache-log4j-core-2.17.0.jar
   • oss-org-apache-log4j-api-2.17.0.jar
   • oss-org-apache-log4j-1.2-api-2.17.0.jar

注：Apacheの公式ウェブサイトからパッチをダウンロードした場合は、上記の3つのファイルの名前を適宜変更する必要があります。

5. am5’以外のWebアプリがある場合は、各Webアプリの/WEB-INF/libフォルダ内のJARファイル（ステップ3および4を参照）を置き換えてください。
6. 以前のパッチ適用作業で、JVMパラメータ「-Dlog4j2.noFormatMsgLookup=true」を適用した場合は、そのJVMパラメータを削除してください。
7. AM Serverサービスを開始します。

パッチを適用したファイルのダウンロードや上記の手順で問題が発生した場合は、i-Sprintのサポート（support@i-sprint.com）までお問い合わせください。