「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。
任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。
新たな脆弱性(CVE-2021-44832)は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系(ただし特定のセキュリティ修正バージョンを除く)。
CVSS(共通脆弱性評価システム)スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性(CVSS10.0で「致命的」)より影響レベルは低いが、直前に見つかっていたDoS(サービス拒否)攻撃の脆弱性よりは高く見積もられている(DoS攻撃に対する脆弱性は当初CVSS7.5だったが、後に5.9へ修正されている)。
実行環境がJava 8以降の場合はバージョン2.17.1へ、Java 7の場合は2.12.4へ、Java 6の場合は2.3.2へのアップデートでこの脆弱性を修正できるとしている。
影響があるのはLog4j 2系のバージョン2.17.0までの「log4j-core JAR」ファイルのみで、このファイルを使わず「log4j-api JAR」ファイルのみを利用している場合は影響を受けない。Log4jの1系や、Log4jから派生した「Log4net」「Log4cxx」などの他のプロジェクトも影響を受けないとしている。
関連記事
- アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 - 「Log4j」に新たな脆弱性、深刻度は「High」 バージョン2.17.0へのアップデートを呼び掛け
The Apache Software Foundation(ASF)がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。 - 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。 - 「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.