AAA: ISE Release log4j2 hotpatch適用状況の確認方法について

kenken · ‎2023-12-25

はじめに

Identity Services Engine(ISE)機器にて、特定の脆弱性問題の対応のためlog4j2 hotpatchを適用することがあります。

ただし、リストアなどの操作により、該当hotpatchが適用されない状態となる場合があります。

本ドキュメントでは特定のlog4j2 hotpatchが適用済み状態であるかを確認する方法について紹介します。

本ドキュメントは、ISE3.1にて確認、作成しております。

log4j2 hotpatchの一例

脆弱性問題

ISE Evaluation log4j CVE-2021-44228

ISE hotpatch ダウンロード

Identity Services Engine Software Release Log4j2-fix-3.1

Hotpatchのreadme

README_Hotpatch_CSCwa47133_Log4j2-fix-3.1-FCS.txt

上記Hotpatchのreadme内のインストール結果の確認方法は下記となりますが、リストアされたISE機器では、

該当ログもリストアされているため、下記のようにインストール成功のログは確認できますが、hotpatchが適用されていない

環境となります。

=======================================================
How to Verify whether patch has installed successfully
=======================================================

Login to ISE CLI
Execute the command "show logging application hotpatch.log"
It should show that 'CSCwa47133_3.1.0.518_patch0' is installed, this will confirm that the hot patch was successfully installed.

特定のlog4j2 hotpatchが適用であるかどうかの確認方法について

hotpatch が適用されているかを確認したい場合は、もう一度該当hotpatchを適用します。

hotpatch適用時にISE内部で適用済みであるかどうかのチェックが発生しますので、それで確認できます。

実行例：

１．ISEリストア後にインストール履歴が確認可能
ise31a/admin# show logging application hotpatch.log
Mon Jul 24 06:15:11 UTC 2023 => CSCwa47133_3.1.0.518_patch0

２．リストア後に再度patchを適用
ise31a/admin# application install ise-apply-CSCwa47133_3.1.0.518_patch0-SPA.tar.gz ftp01
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully

Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Initiating Application Install...

Checking if CSCwa47133_3.1.0.518_patch0 is already applied　<--こちら　patchが未適用のため、適用可能と判断
  - Successful

Checking ISE version compatibility
  - Current ISE Version: 3.1.0.518 Patch Version: 0
  - Successful

Applying Hot Patch CSCwa47133_3.1.0.518_patch0
  - Taking backup of patch files...
  - Installing new patch files...

３．上記「２．」にて適用後に、再度patchを適用
ise31a/admin# application install ise-apply-CSCwa47133_3.1.0.518_patch0-SPA.tar.gz ftp01
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully

Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Initiating Application Install...

Checking if CSCwa47133_3.1.0.518_patch0 is already applied   <---こちら　patchが適用済みと確認、適用中止
  - Failed
  - CSCwa47133_3.1.0.518_patch0 is already applied
% Application install or upgrade cancelled.
ise31a/admin#