ITmedia NEWS > セキュリティ >
ニュース
» 2021年12月13日 15時45分 公開

“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行

Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。

[谷井将人,ITmedia]

 簡単な方法で任意のプログラムを実行できてしまうとして12月10日ごろからIT系企業で騒動になっている、Apacheソフトウェア財団のJava向けログ出力ライブラリ「Apache Log4j」(Log4j)の脆弱性。そんな中、“ワクチン”のようにこの脆弱性を修正するプログラムを、米情報セキュリティ企業Cybereasonが12月11日(日本時間)にGitHubで公開した。

photo Logout4Shellの公開ページ

 Log4jには「JNDI Lookup」という機能があり、これを悪用すると外部のサーバに置いた任意のプログラムを標的に読み込ませ、実行させられる。対策としては、JNDI Lookup機能を停止する必要がある。Cybereasonが公開した修正プログラム「Logout4Shell」は、この脆弱性を使って「JNDI Lookup機能を停止させた状態でLog4jを再構築するプログラム」を実行させることで問題を修正するというもの。

photo JPCERT/CCがまとめた対策法

 同社は「この欠陥は致命的なものになる可能性がある」としてLogout4Shellを公開。「有志で提供する物で、バグやエラーなどの欠陥が含まれる可能性がある。利用時にはデータの保護をするように」と注意書きをしている。

Copyright © ITmedia, Inc. All Rights Reserved.