更新：Apache Log4j の脆弱性対策について(CVE-2021-44228)

Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。

この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。

---2021 年 12 月 27 日 更新---

• Apache Log4j 2.15.0 より前の 2 系のバージョン ※ Apache Log4j 2.12 系のうち 2.12.2 以降を除く

---2021 年 12 月 14 日 更新---

※ Apache Log4j 2.15.0 の出荷候補版である Apache Log4j 2.15.0-rc1 も脆弱性の影響を受けるとのことです。

---2021 年 12 月 20 日 更新---

なお、すでに End of Life を迎えている Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認しています。

特定の構成の場合、Apache Log4j 1 系のバージョンにおいても本脆弱性の影響を受ける可能性があるとのことです。

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• Apache Log4j Security Vulnerabilities
  https://logging.apache.org/log4j/2.x/security.html

1.脆弱性の解消 - アップデートを実施

---2021 年 12 月 27 日 更新---

• Java 8 及びそれ以降の場合
  • Apache Log4j 2.17.0

※2.17.0 は、CVE-2021-45105 を対応したバージョンです。

• Java 7 の場合
  • Apache Log4j 2.12.3

※2.12.3 は、CVE-2021-45105 を対応したバージョンです。

2.脆弱性の暫定的な回避策

---2021 年 12 月 23 日 更新---

以前の回避策は、特定の攻撃に対して不十分であったことがベンダによって明らかになりました。以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。

• JndiLookup クラスをクラスパスから削除する。

また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。

詳しくは、開発者が提供する下記サイトの情報をご確認ください。

• Apache Log4j Security Vulnerabilities
  https://logging.apache.org/log4j/2.x/security.html

• Apache Log4j Security Vulnerabilities
  https://logging.apache.org/log4j/2.x/security.html


• Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起
  https://www.jpcert.or.jp/at/2021/at210050.html



---2021 年 12 月 14 日 更新---

• 【注意喚起】Log4jの脆弱性を狙う攻撃を多数検知、至急対策を！
  https://www.lac.co.jp/lacwatch/alert/20211213_002820.html

E-mail：