ニュース
URL入力で「Log4j」脆弱性診断 ツール試用版を無償提供 セキュアブレイン
昨年末から話題の「Log4j」の脆弱性が自社サイトにあるか調べられる診断サービスの試用版を、セキュアブレインが無償提供。
セキュアブレインは、Javaのログ出力ライブラリ「Apache Log4j」の深刻な脆弱性「Log4Shell」が自社サイトにあるかを調べられる機能を備えた診断サービスの試用版の無償提供を始めた。法人限定で、申し込みが必要。3月31日まで行っている。
提供するのは、WebサイトのURLと簡単な初期設定だけで利用できる「GRED(グレッド) Webセキュリティ診断 Cloud」の試用版。攻撃を受けやすいWebプラットフォームの脆弱性やサーバの設定不備、管理機能の設定不備などを診断し、高リスクが検出されると管理者に通知する。
試用版は、1ホスト、自社サイトのみに「オンデマンドスキャン」を1回だけ行える。申し込んだユーザーには、同社からアンケートなどの依頼が届くことがある。
製品版も3月31日まで特別価格(税別3万8000円/3カ月以内に5回までのオンデマンドスキャンが可能)で提供する。
Log4Shellは、2021年12月に判明した脆弱性。Java環境向けログ出力ライブラリ「Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるというもので、悪用のリスクは高い。
警察庁は、この脆弱性をついた攻撃について、全国の警察施設のセンサーで観測した攻撃数グラフを公開している。これによると、攻撃数は12月20日前後をピークに減少しているものの、まだ続いているようだ。
関連記事
- 「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。 - 米国では「Log4j」脆弱性の放置に法的措置も 攻撃に引き続き警戒を呼び掛け
「Log4j」の脆弱性の問題は、年が明けても深刻な状況が続いている。米Microsoftは企業に対し、引き続き警戒するように注意を呼び掛けている他、米連邦取引委員会(FTC)は対策を怠った企業に対し、法的措置を講じる考えを示した。 - 「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 - 投稿URLの安全性をチェックするTwitter BOT 短縮URLにも対応
投稿されたURLの安全性を判定してくれるTwitterBOTが登場。短縮URLでも解析できる。 - 「Log4j」に新たな脆弱性、深刻度は「High」 バージョン2.17.0へのアップデートを呼び掛け
The Apache Software Foundation(ASF)がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.