Apache Log4jの脆弱性問題、さらなる修正版が公開

ZDNet Japan Staff

2021-12-14 19:42

 Javaのログ出力ライブラリー「Apache Log4j」に存在する深刻な脆弱性が見つかった問題で開発元のApache Software Foundationは12月14日、さらなる修正を加えたApache Log4j 2.16.0をリリースした

 当初にこの脆弱性は、Apache Log4j 2.0-beta 9から2.14.1が影響を受けるとされ、Apache Software Foundationから修正を行った出荷版候補のApache Log4j 2.15.0-rc1が公開されていた。しかしパロアルトネットワークスによれば、このバージョンでも対策が迂回されてしまう恐れが発覚。Apache Log4j 2.16.0(一部ではApache Log4j 2.15.0-rc2と表記されている)において、さらなる修正が加えられた。

 情報処理推進機構(IPA)は同日、脆弱性を悪用したと見られる攻撃が日本国内で観測された情報があるとして、至急対策を実施するよう呼び掛けている。修正版への早期アップデートが困難な場合の回避策や攻撃を検知・ブロックする手段の提供も広がっている

(2021年12月15日追記)Apache Software Foundationは、今回の脆弱性とは別に、Apache Log4j 2.0-beta9から2.12.1まで、および同2.13.0から2.15.0までのバージョンに分散型サービス妨害(DDoS)状態を誘発する脆弱性(CVE-2021-45046)が見つかったとして、この脆弱性を修正したApache Log4j 2.12.2をリリースしている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]