Apache Software Foundation(ASF)は米国時間12月17日、Javaのログ出力ライブラリー「Apache Log4j」の最新バージョンとなるApache Log4j 2.17.0をリリースした。バージョン2.0-alpha1から2.14.16までにサービス妨害(DoS)状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。
ASFよると、バージョン2.0-alpha1~2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx:loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ(MDC)で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。
なお、脆弱性の影響を受けるのは「log4j-coreJAR」ファイルを使用している場合のみという。「log4j-apiJAR」ファイルのみを使用するアプリケーションや、Log4j以外のLog4netやLog4cxxなどApacheのロギング関連のプロジェクトには影響しないとしている。共通脆弱性評価システム(CVSS)による基本値での評価は「7.5」(最大は10.0)となっている。
また脆弱性の影響を回避する方法としては、ロギング構成のPatternLayoutで「$ {ctx:loginId}」や「$$ {ctx:loginId}」などのコンテキストルックアップをMDCのパターン(%X、%mdcまたは%MDC)に置き換えるか、「$ {ctx:loginId}」や「$$ {ctx:loginId}」などのコンテキストルックアップへの参照を削除することが紹介されている。
今回の脆弱性はアカマイ・テクノロジーズの岡本英輝氏、トレンドマイクロ リサーチのGuy Lederfein氏、匿名の人物がそれぞれに発見した。トレンドマイクロのZero Day Initiativeは、バージョン2.0-beta9~2.14.1で報告されたリモートコード実行の脆弱性(通称「Log4Shell」)と同様に「Lookup」に起因するものの、Log4Shellとは異なるものだと解説している。
