Apache Log4jにまた脆弱性、バージョン2.17.0公開

ZDNET Japan Staff

2021-12-20 09:33

 Apache Software Foundation(ASF)は米国時間12月17日、Javaのログ出力ライブラリー「Apache Log4j」の最新バージョンとなるApache Log4j 2.17.0をリリースした。バージョン2.0-alpha1から2.14.16までにサービス妨害(DoS)状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。

 ASFよると、バージョン2.0-alpha1~2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx:loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ(MDC)で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。

 なお、脆弱性の影響を受けるのは「log4j-coreJAR」ファイルを使用している場合のみという。「log4j-apiJAR」ファイルのみを使用するアプリケーションや、Log4j以外のLog4netやLog4cxxなどApacheのロギング関連のプロジェクトには影響しないとしている。共通脆弱性評価システム(CVSS)による基本値での評価は「7.5」(最大は10.0)となっている。

 また脆弱性の影響を回避する方法としては、ロギング構成のPatternLayoutで「$ {ctx:loginId}」や「$$ {ctx:loginId}」などのコンテキストルックアップをMDCのパターン(%X、%mdcまたは%MDC)に置き換えるか、「$ {ctx:loginId}」や「$$ {ctx:loginId}」などのコンテキストルックアップへの参照を削除することが紹介されている。

 今回の脆弱性はアカマイ・テクノロジーズの岡本英輝氏、トレンドマイクロ リサーチのGuy Lederfein氏、匿名の人物がそれぞれに発見した。トレンドマイクロのZero Day Initiativeは、バージョン2.0-beta9~2.14.1で報告されたリモートコード実行の脆弱性(通称「Log4Shell」)と同様に「Lookup」に起因するものの、Log4Shellとは異なるものだと解説している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

  2. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  3. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  4. セキュリティ

    クラウドネイティブ開発の要”API”--調査に見る「懸念されるリスク」と「セキュリティ対応策」

  5. セキュリティ

    5分で学ぶCIEMの基礎--なぜ今CIEM(クラウドインフラストラクチャ権限管理)が必要なのか?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]