Apache Log4j の脆弱性対策について(CVE-2021-44228)
ニュース
【概要】
Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。
この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
【影響を受けるシステム】
- Apache Log4j 2.15.0 より前の 2 系のバージョン
なお、すでに End of Life を迎えている Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認しています。
【対策】
1.脆弱性の解消 - アップデートを実施
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は、本脆弱性を修正した次のバージョンをリリースしています。
- Apache Log4j 2.15.0
2.脆弱性の暫定的な回避策
The Apache Software Foundation から、Log4j のバージョンに応じた回避策に関する情報が公開されています。
- Log4j バージョン 2.10 およびそれ以降
-
- Log4j を実行する Java 仮想マシンを起動時に「log4j2.formatMsgNoLookups」という JVM フラグオプションを指定する
- 環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する
-
- Log4j バージョン2.10 より前
-
-
- JndiLookup クラスをクラスパスから削除する
-
また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- Download Apache Log4j 2
https://logging.apache.org/log4j/2.x/download.html
【参考情報】
- Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html - Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
出典:独立行政法人情報処理推進機構(IPA)