更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)
【概要】
Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。
この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
---2021 年 12 月 14 日 更新---
本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
Apache Log4j が使用されているソフトウェア等の製品ベンダから情報が公開される可能性があります。各組織から提供される最新の関連情報をご確認ください。
【影響を受けるシステム】
- Apache Log4j 2.15.0 より前の 2 系のバージョン
---2021 年 12 月 14 日 更新---
※ Apache Log4j 2.15.0 の出荷候補版である Apache Log4j 2.15.0-rc1 も脆弱性の影響を受けるとのことです。
なお、すでに End of Life を迎えている Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認しています。
【対策】
1.脆弱性の解消 - アップデートを実施
- 開発者が提供する情報をもとに、最新版へアップデートしてください。
- 開発者は、本脆弱性を修正した次のバージョンをリリースしています。
-
- Apache Log4j 2.15.0
---2021 年 12 月 14 日 更新---
2021 年 12 月 14 日現在、以下が最新のバージョンとなっています。
- Apache Log4j 2.16.0
2.脆弱性の暫定的な回避策
The Apache Software Foundation から、Log4j のバージョンに応じた回避策に関する情報が公開されています。
- Log4j バージョン 2.10 およびそれ以降
- Log4j を実行する Java 仮想マシンを起動時に「log4j2.formatMsgNoLookups」という JVM フラグオプションを指定する
- 環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する
- Log4j バージョン2.10 より前
- JndiLookup クラスをクラスパスから削除する
また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- Download Apache Log4j 2
https://logging.apache.org/log4j/2.x/download.html
【参考情報】
- Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html - Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
---2021 年 12 月 14 日 更新---
- 【注意喚起】Log4jの脆弱性を狙う攻撃を多数検知、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211213_002820.html
出典:独立行政法人情報処理推進機構(IPA)
※弊社の脆弱性診断サービスでは、様々なWebサーバーの診断が可能です(Log4j含む)。詳しい条件はお問合せください。