米Apacheソフトウェア財団は12月13日(現地時間)、Java向けログ出力ライブラリ「Apache Log4j」(Log4j)のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効にしたことと、Message Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。
この脆弱性は、悪意のある文字列をログに読み込ませるだけで、外部のサーバに置いた任意のプログラムを標的に実行させられるというもの。Log4jのバージョン2.0-beta9から2.14までがこの影響下にあり、対策にはJNDI Lookup機能をオフにする必要があった。
iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでもLog4jは使われており、悪用された場合の影響範囲が大きく「Log4jにどうしてこのような機能を搭載したのか」などとITエンジニアを中心に物議を醸していた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR