Apache Log4jの脆弱性が現在でも続いています
利用されている方は、脆弱性を排除しましょう
この文章は、Apache Log4jと呼ばれるJavaベースのオープンソースのロギングライブラリに存在する脆弱性に関する情報を提供しています。以下に詳細をまとめます。
I. 概要:
文書は2022年1月4日の情報で、状況が変わる可能性があることを指摘しています。
Apache Log4jのバージョン2.17.1(Java 8以降)、2.12.4(Java 7)、および2.3.2(Java 6)が公開されました。
脆弱性(CVE-2021-44228)により、攻撃者がログデータを利用して任意のコードを実行できる可能性があります。
II. 対象:
影響を受けるバージョンは、Apache Log4j-core 2.15.0より前の2系のバージョンです。
Apache Log4j 1系のバージョンは影響を受けないことが確認されています。
III. 対策:
Apache Software Foundationから修正されたバージョンが提供されており、アップデートを推奨しています。
2.16.0と2.12.2ではLookup機能がデフォルトで無効になりました。
脆弱性への対策として、アクセス制御の見直しや強化も推奨しています。
IV. 回避策:
特定のバージョンでは、JndiLookup.classをクラスパスから削除する回避策を提供しています。
システムから外部への接続を制限するアクセス制御も検討しています。
V. 参考情報:
Apache Log4jの脆弱性に関する情報源やリンクが提供されています。
JPCERT/CCなどの情報提供機関と連絡を取ることが推奨されています。
この文書は、Apache Log4jのセキュリティに関心のあるユーザーに対して、脆弱性に対処するための情報を提供しています。
