Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

ZDNET Japan Staff

2021-12-12 11:07

 Javaのログ出力ライブラリー「Apache Log4j」で、遠隔から任意のコードを実行される恐れのある深刻な脆弱性(CVE-2021-44228)が報告された。JPCERT コーディネーションセンター(JPCERT/CC)が12月11日、この脆弱性を悪用する攻撃を日本で確認したとして緊急で注意喚起を発した。

 脆弱性は、Alibaba Cloud セキュリティチームのChen Zhaojun氏が報告し、米国時間9日に明らかになった。Log4jは、Javaアプリケーションのログを出力するライブラリーとして、多数のアプリケーションに実装されている。

 JPCERT/CCによれば、脆弱性はLog4jでログの文字列を一部を変数に置換する「Lookup」に起因する。これに含まれる「JNDI Lookup」機能が悪用された場合、遠隔から細工された文字列が送信されLog4jがログとして記録してしまうことで、Log4jがLookupで指定された通信先や内部のパスからjava classファイルを読み込んで実行する。これにより任意のコードが実行されてしまうという。脆弱性の影響を受けるバージョンは2.0-beta 9から2.14.1となる。

 既にこの脆弱性を悪用する概念実証(PoC)コードが公開され、JPCERT/CCが脆弱性の悪用を試みる通信を国内で確認している。脆弱性には「Log4Shell」という通称も付けられ始めた。開発元のApache Software Foundationによる分析では、共通脆弱性評価システム(CVSS)の基本値で最大の「10.0」となっている。

 Apache Software Foundationは、この脆弱性を修正したLog4j 2.15.0をリリースし、アプリ開発者などに適用など早期対応を促している。修正版ではLookupが初期設定で無効化された。また、脆弱性の影響を緩和する方法として、バージョン 2.10以降ではシステムプロパティーとして「log4j2.formatMsgNoLookups」を指定する、あるいは環境変数の「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に変更すること、2.0-beta 9から2.10よりも前のバージョンでは、クラスパス「zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class」から「JndiLookup」クラスを削除することを紹介している。

 Cisco SystemsAmazon Web Services(AWS)Salesforce.comVMwareIBMRed HatNetAppOracleは、一部の製品やサービスで脆弱性の影響を受けるバージョンのLog4jを使用しているとして、対応状況を発表した。

 また、Palo Alto NetworksSonicWallトレンドマイクロPulse Secureなどが製品への脆弱性の影響について調査している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]