　米Apacheソフトウェア財団は12月13日（現地時間）、Java向けログ出力ライブラリ「Apache Log4j」（Log4j）のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効にしたことと、Message Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。

米Apacheソフトウェア財団の公式Webサイトから引用

　この脆弱性は、悪意のある文字列をログに読み込ませるだけで、外部のサーバに置いた任意のプログラムを標的に実行させられるというもの。Log4jのバージョン2.0-beta9から2.14までがこの影響下にあり、対策にはJNDI Lookup機能をオフにする必要があった。

　iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでもLog4jは使われており、悪用された場合の影響範囲が大きく「Log4jにどうしてこのような機能を搭載したのか」などとITエンジニアを中心に物議を醸していた。

“Log4j用ワクチン”登場　脆弱性を利用して修正プログラムを実行
Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。
“Log4j用ワクチン”登場　脆弱性を利用して修正プログラムを実行
Javaライブラリ「Apache Log4j」で見つかった、任意のコードを実行できる脆弱性を巡り、米Cybereasonが脆弱性を修正するプログラムを公開した。“ワクチン”のように脆弱性を活用して問題を修正できる。
世界のWebサーバの3分の1に影響？　Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた
ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。
日本の製粉大手に「前例ない」大規模攻撃　大量データ暗号化　起動不能、バックアップもダメで「復旧困難」
「システムの起動そのものが不可能で、データの復旧の手段はない」――製粉大手のニップンに、前例のない規模のサイバー攻撃。一度の攻撃で大量のデータが同時多発的に暗号化され、決算作業もできなくなった。