ITmedia NEWS > セキュリティ >
ニュース
» 2021年12月14日 12時08分 公開

Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に

米Apacheソフトウェア財団は、Java向けログ出力ライブラリ「Apache Log4j」のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効化したことと、Massage Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。

[松浦立樹,ITmedia]

 米Apacheソフトウェア財団は12月13日(現地時間)、Java向けログ出力ライブラリ「Apache Log4j」(Log4j)のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効にしたことと、Message Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。

米Apacheソフトウェア財団の公式Webサイトから引用

 この脆弱性は、悪意のある文字列をログに読み込ませるだけで、外部のサーバに置いた任意のプログラムを標的に実行させられるというもの。Log4jのバージョン2.0-beta9から2.14までがこの影響下にあり、対策にはJNDI Lookup機能をオフにする必要があった。

 iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでもLog4jは使われており、悪用された場合の影響範囲が大きく「Log4jにどうしてこのような機能を搭載したのか」などとITエンジニアを中心に物議を醸していた。

Copyright © ITmedia, Inc. All Rights Reserved.