Cybereasonが「Log4Shell」を回避するワクチンをOSSで公開
CybereasonはLog4jに関するゼロデイ脆弱性(CVE-2021-44228)、通称「Log4Shell」の影響を回避するOSSを公開した。Log4jをアップデートできない場合には有効な回避策の1つになり得るため検討材料に加えておきたい。
» 2021年12月15日 07時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ企業のCybereasonは2021年12月10日(現地時間)、同社のセキュリティブログで、Javaのロギングライブラリ「Apache Log4j」(Log4j)に関するゼロデイ脆弱(ぜいじゃく)性(CVE-2021-44228)、通称「Log4Shell」の影響を回避するオープンソースソフトウェア(OSS)を公開した。
CVE-2021-44228は、CVSSスコアが最高値の「10.0」で、深刻度が「緊急」(Critical)に分類される重大な脆弱性だ。プログラムオブジェクトを検出するJNDI(Java Naming and Directory Interface)Lookupに存在するこの脆弱性を悪用することで、遠隔から脅威アクターが細工した文字列を送信され、指定したパスからJavaのクラスファイルを読み込まされ、結果として任意のコードが実行されるリスクがある。
Log4jを停止できない企業に緩和策として提供
関連記事
Apache Log4jにCVSSスコア「10.0」の脆弱性 国内で悪用を試みる通信も確認
Apache Log4jに任意コード実行の脆弱性が明らかになった。利用されているJavaシステムが多いことから影響範囲の広さが懸念されている。現状ではまだ不明点が多いが、すでに脆弱性を狙ったハッキングが確認されており、継続的な情報収集と対応が求められる。
CiscoがApache HTTP Serverの脆弱性の影響受ける製品を順次発表中、確認を
Apache HTTP Serverの5つの脆弱性はCisco製品にも影響を及ぼすようだ。Ciscoは影響を受ける製品の確認を進めており、該当製品のリストが順次更新されている状況だ。Cisco製品を使用している場合には定期的に確認しておきたい。
Emotetがバンキング型トロイの木馬「Trickbot」を経由して感染拡大中
Check Point Software Technologiesは、バンキング型トロイの木馬「Trickbot」を経由して「Emotet」が感染拡大していると報じた。Trickbotは、同社が2021年9月に発表したマルウェアランキングで1位を獲得しており、サイバー攻撃者によく利用されているため注意が必要だ。
バンキング型トロイの木馬「Trickbot」が流行か 2021年9月のマルウェアランキングが発表
Check Point Software Technologiesが2021年9月のマルウェアランキングを発表した。同年9月に最も利用されたマルウェアにはTrickbotが挙がった。その特徴を振り返る。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- VMware買収の真の狙いは? Google Cloud Nextで見えたBroadcomのビジョン
- 2023年に最も狙われたリモートデスクトップツールは?
- プログラミング言語「R」に任意コード実行の脆弱性 悪用の可能性あり更新を
- 「子会社系SIer」で深刻化する“忙し過ぎ問題” 最も不足している意外なIT人材とは?
- 富士通とNECの最新受注状況から探る 「2024年度国内IT需要の行方」
- Windows 11の永続ライセンスが消えて“毎月課金”になる予感
- 経産省、SBOM導入手引のバージョン2.0に関する意見公募を開始
- 40代でも転職できる人が「絶対しないこと」は? エンジニア“サバイバル”読本
- Chromeバージョン124がハイブリッド量子暗号化機能をデフォルトで有効化 ただし不具合報告も
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
ITmediaはアイティメディア株式会社の登録商標です。