CybereasonはLog4jに関するゼロデイ脆弱性(CVE-2021-44228)、通称「Log4Shell」の影響を回避するOSSを公開した。Log4jをアップデートできない場合には有効な回避策の1つになり得るため検討材料に加えておきたい。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のCybereasonは2021年12月10日(現地時間)、同社のセキュリティブログで、Javaのロギングライブラリ「Apache Log4j」(Log4j)に関するゼロデイ脆弱(ぜいじゃく)性(CVE-2021-44228)、通称「Log4Shell」の影響を回避するオープンソースソフトウェア(OSS)を公開した。
CVE-2021-44228は、CVSSスコアが最高値の「10.0」で、深刻度が「緊急」(Critical)に分類される重大な脆弱性だ。プログラムオブジェクトを検出するJNDI(Java Naming and Directory Interface)Lookupに存在するこの脆弱性を悪用することで、遠隔から脅威アクターが細工した文字列を送信され、指定したパスからJavaのクラスファイルを読み込まされ、結果として任意のコードが実行されるリスクがある。
Copyright © ITmedia, Inc. All Rights Reserved.