ITmedia NEWS > セキュリティ >
ニュース
» 2021年12月29日 16時05分 公開

「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開

ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。

[井上輝一,ITmedia]

 任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。

新たな脆弱性(CVE-2021-44832)についての解説ページ

 新たな脆弱性(CVE-2021-44832)は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系(ただし特定のセキュリティ修正バージョンを除く)。

 CVSS(共通脆弱性評価システム)スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性(CVSS10.0で「致命的」)より影響レベルは低いが、直前に見つかっていたDoS(サービス拒否)攻撃の脆弱性よりは高く見積もられている(DoS攻撃に対する脆弱性は当初CVSS7.5だったが、後に5.9へ修正されている)。

 実行環境がJava 8以降の場合はバージョン2.17.1へ、Java 7の場合は2.12.4へ、Java 6の場合は2.3.2へのアップデートでこの脆弱性を修正できるとしている。

 影響があるのはLog4j 2系のバージョン2.17.0までの「log4j-core JAR」ファイルのみで、このファイルを使わず「log4j-api JAR」ファイルのみを利用している場合は影響を受けない。Log4jの1系や、Log4jから派生した「Log4net」「Log4cxx」などの他のプロジェクトも影響を受けないとしている。

Copyright © ITmedia, Inc. All Rights Reserved.