Javaのログ出力ライブラリー「Apache Log4j」に存在する深刻な脆弱性が見つかった問題で開発元のApache Software Foundationは12月14日、さらなる修正を加えたApache Log4j 2.16.0をリリースした。
当初にこの脆弱性は、Apache Log4j 2.0-beta 9から2.14.1が影響を受けるとされ、Apache Software Foundationから修正を行った出荷版候補のApache Log4j 2.15.0-rc1が公開されていた。しかしパロアルトネットワークスによれば、このバージョンでも対策が迂回されてしまう恐れが発覚。Apache Log4j 2.16.0(一部ではApache Log4j 2.15.0-rc2と表記されている)において、さらなる修正が加えられた。
情報処理推進機構(IPA)は同日、脆弱性を悪用したと見られる攻撃が日本国内で観測された情報があるとして、至急対策を実施するよう呼び掛けている。修正版への早期アップデートが困難な場合の回避策や攻撃を検知・ブロックする手段の提供も広がっている。
(2021年12月15日追記)Apache Software Foundationは、今回の脆弱性とは別に、Apache Log4j 2.0-beta9から2.12.1まで、および同2.13.0から2.15.0までのバージョンに分散型サービス妨害(DDoS)状態を誘発する脆弱性(CVE-2021-45046)が見つかったとして、この脆弱性を修正したApache Log4j 2.12.2をリリースしている。
