編集部からのお知らせ
新着の記事まとめ「Emotet」動向

Apache Log4jにまた脆弱性、バージョン2.17.0公開

ZDNet Japan Staff

2021-12-20 09:33

 Apache Software Foundation(ASF)は米国時間12月17日、Javaのログ出力ライブラリー「Apache Log4j」の最新バージョンとなるApache Log4j 2.17.0をリリースした。バージョン2.0-alpha1から2.14.16までにサービス妨害(DoS)状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。

 ASFよると、バージョン2.0-alpha1~2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx:loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ(MDC)で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。

 なお、脆弱性の影響を受けるのは「log4j-coreJAR」ファイルを使用している場合のみという。「log4j-apiJAR」ファイルのみを使用するアプリケーションや、Log4j以外のLog4netやLog4cxxなどApacheのロギング関連のプロジェクトには影響しないとしている。共通脆弱性評価システム(CVSS)による基本値での評価は「7.5」(最大は10.0)となっている。

 また脆弱性の影響を回避する方法としては、ロギング構成のPatternLayoutで「$ {ctx:loginId}」や「$$ {ctx:loginId}」などのコンテキストルックアップをMDCのパターン(%X、%mdcまたは%MDC)に置き換えるか、「$ {ctx:loginId}」や「$$ {ctx:loginId}」などのコンテキストルックアップへの参照を削除することが紹介されている。

 今回の脆弱性はアカマイ・テクノロジーズの岡本英輝氏、トレンドマイクロ リサーチのGuy Lederfein氏、匿名の人物がそれぞれに発見した。トレンドマイクロのZero Day Initiativeは、バージョン2.0-beta9~2.14.1で報告されたリモートコード実行の脆弱性(通称「Log4Shell」)と同様に「Lookup」に起因するものの、Log4Shellとは異なるものだと解説している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]