ITmedia NEWS > 製品動向 >
ニュース
» 2021年12月20日 15時58分 公開

「Log4j」に新たな脆弱性、深刻度は「High」 バージョン2.17.0へのアップデートを呼び掛け

The Apache Software Foundation(ASF)がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。

[ITmedia]

 The Apache Software Foundation(ASF)は12月17日(現地時間)、Java環境向けログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たにDoS(サービス拒否)攻撃できる脆弱性が見つかったため。脆弱性があるのは2.16.0までの2系バージョン。

ASFが公開したバージョン2.17.0

 この脆弱性に割り振られたCVE番号は「CVE-2021-45105」で、深刻度は「High」。CVSS(共通脆弱性評価システム)スコアは7.5。デフォルト以外の設定でログ出力を構成している場合、「Lookup」機能で再帰的に自己参照できてしまう恐れがあるという。その結果としてスタックオーバーフローによるプロセスの終了を引き起こすとしている。ASFは2.17.0へのバージョンアップとともに、影響を軽減するためのログ構成も案内している。

 Log4jを巡っては、ログに含まれた任意のコードを実行し、外部からプログラムを読み込むという脆弱性が発覚。影響の範囲が広いことから、国内でもJPCERT/CCが対応をアナウンスしている他、警察庁が攻撃のモニタリングを始めており、既に攻撃が始まっているという。

Copyright © ITmedia, Inc. All Rights Reserved.