Apache Log4j RCE 脆弱性 (CVE-2021-44228) に関して

作成
( 更新 )
@scqrinc

概要

  • Apache Log4j の JNDI 機能に関わるものです。
  • 深刻度合いは? CVSS で 10 点、最高スコアです。最上位のリスクレベルとされています。

詳細

CVE-2021-44228 (log4shell または log4jam とも): Log4j で見付かったリモートコード実行 (RCE) 脆弱性の影響は広範に及びます。汎用的プログラミング言語 JAVA に関わるもので、Spring / Struts / LogStash / Solr 等のメジャーなフレームワークでも内部的に使われているためです。

CVE-2021-44228 (log4shell) は、攻撃成立の条件が低く、開かれたネットワーク系のシステムでは特に危険です。2014 年の HeartbleedShell shock (Bashdoor) (* 英語) と並んで、歴史的に深刻な脆弱性の一つになると見なされ始めています。

Log4j を 2.15.0 へ更新することが強く推奨されています。

対応策

  • log4j のバージョン を 2.15.0 (またはそれ以降) に更新することが、強く推奨されています。

次善の一時的な緩和策

なお、Log4j のアップデートが難しい場合、以下も検討できます:

  • WAF を導入する。
  • ver >= 2.10.0 の場合: JNDI lookup を無効化する (システム設定 log4j2.formatMsgNoLookups または 環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS)。
  • 上記以外: JndiLookup をクラスパスから除外する。

本記事は小社のツイートをもとにしています。


Comments or feedbacks are welcomed and appreciated.