　The Apache Software Foundation（ASF）は12月17日（現地時間）、Java環境向けログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たにDoS（サービス拒否）攻撃できる脆弱性が見つかったため。脆弱性があるのは2.16.0までの2系バージョン。

ASFが公開したバージョン2.17.0

　この脆弱性に割り振られたCVE番号は「CVE-2021-45105」で、深刻度は「High」。CVSS（共通脆弱性評価システム）スコアは7.5。デフォルト以外の設定でログ出力を構成している場合、「Lookup」機能で再帰的に自己参照できてしまう恐れがあるという。その結果としてスタックオーバーフローによるプロセスの終了を引き起こすとしている。ASFは2.17.0へのバージョンアップとともに、影響を軽減するためのログ構成も案内している。

　Log4jを巡っては、ログに含まれた任意のコードを実行し、外部からプログラムを読み込むという脆弱性が発覚。影響の範囲が広いことから、国内でもJPCERT/CCが対応をアナウンスしている他、警察庁が攻撃のモニタリングを始めており、既に攻撃が始まっているという。

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。
Log4j、バージョン2.16.0が登場　問題の機能を削除やデフォルト無効に
米Apacheソフトウェア財団は、Java向けログ出力ライブラリ「Apache Log4j」のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効化したことと、Massage Lookup機能を削除したことの2点で、問題となっていた脆弱性に対応した形になる。
世界のWebサーバの3分の1に影響？　Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。
「Log4j」脆弱性、中国や北朝鮮発の悪用をMicrosoftが確認
Microsoftは、「Apache Log4j」の脆弱性が、中国、イラン、北朝鮮、トルコを起源とする複数の集団によって悪用されていることを確認した。また、複数のアクセスブローカーが企業からの情報窃盗にこの脆弱性を利用していることも確認したとしている。
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設で観測した攻撃数の平均グラフを公開した。