Blog

Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

 Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228)が報告された。JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起を発した。

 脆弱性は、Alibaba Cloud セキュリティチームのChen Zhaojun氏が報告し、米国時間9日に明らかになった。Log4jは、Javaアプリケーションのログを出力するライブラリーとして、多数のアプリケーションに実装されている。

 JPCERT/CCによれば、脆弱性はLog4jでログの文字列を一部を変数に置換する「Lookup」に起因する。これに含まれる「JNDI Lookup」機能が悪用された場合、遠隔から細工された文字列が送信されLog4jがログとして記録してしまうことで、Log4jがLookupで指定された通信先や内部のパスからjava classファイルを読み込んで実行する。これにより任意のコードが実行されてしまうという。脆弱性の影響を受けるバージョンは2.0-beta 9から2.14.1となる。

 既にこの脆弱性を悪用する概念実証(PoC)コードが公開され、JPCERT/CCが脆弱性の悪用を試みる通信を国内で確認している。脆弱性には「Log4Shell」という通称も付けられ始めた。開発元のApache Software Foundationによる分析では、共通脆弱性評価システム(CVSS)の基本値で最大の「10.0」となっている。

 Apache Software Foundationは、この脆弱性を修正したLog4j 2.15.0をリリースし、アプリ開発者などに適用など早期対応を促している。修正版ではLookupが初期設定で無効化された。また、脆弱性の影響を緩和する方法として、バージョン 2.10以降ではシステムプロパティーとして「log4j2.formatMsgNoLookups」を指定する、あるいは環境変数の「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に変更すること、2.0-beta 9から2.10よりも前のバージョンでは、クラスパス「zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class」から「JndiLookup」クラスを削除することを紹介している。

Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

 Cisco SystemsやAmazon Web Services(AWS)、Salesforce.com、VMware、IBM、Red Hat、NetApp、Oracleは、一部の製品やサービスで脆弱性の影響を受けるバージョンのLog4jを使用しているとして、対応状況を発表した。

 また、Palo Alto Networks、SonicWallやトレンドマイクロ、Pulse Secureなどが製品への脆弱性の影響について調査している。

ホット記事

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

iPhoneやパソコンでWebサイトをPDFで保存する方法 | Business Insider Japan

無料のメールマガジンに登録平日17時にBusiness Insider Japanのメルマガをお届け。利用規約を確認iPhoneのSafariを含め各種ウェブブラウザーから、ウェブサイトをPDFとして保存できる。撮影:今村拓馬Webページは突...

続きを読む 続きを読む
Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

Yahoo!ニュース 伝統の「小紋染め」紋様をデジタル化へ 消滅危機、老舗社長の挑戦

富田篤さんが広げる手前のファイルには、保存状態の良い型紙をできるだけ空気に触れさせないよう入れている。デジタル化に備えて、劣化を防ぐためだ=東京都新宿区の富田染工芸で2021年12月10日午前、近藤浩之撮影 ...

続きを読む 続きを読む
ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

ニュース 録画忘れでも大丈夫!オリンピックの名場面をスマホであとから見る方法

アーカイブ配信の利用方法を解説選手のプレーはもちろん、ユニークな解説などでも注目が集まる東京オリンピック。話題になったのに見逃してしまったり、録画していなかったりした場合でも、あとから好きなタイミング...

続きを読む 続きを読む

関連記事