概要
Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。
この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。
本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
---2021 年 12 月 14 日 更新---
本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
Apache Log4j が使用されているソフトウェア等の製品ベンダから情報が公開される可能性があります。各組織から提供される最新の関連情報をご確認ください。
影響を受けるシステム
- Apache Log4j 2.15.0 より前の 2 系のバージョン ※ Apache Log4j 2.12 系のうち 2.12.2 以降を除く
---2021 年 12 月 27 日 更新---
---2021 年 12 月 14 日 更新---
※ Apache Log4j 2.15.0 の出荷候補版である Apache Log4j 2.15.0-rc1 も脆弱性の影響を受けるとのことです。
---2021 年 12 月 20 日 更新---
なお、すでに End of Life を迎えている Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認しています。
特定の構成の場合、Apache Log4j 1 系のバージョンにおいても本脆弱性の影響を受ける可能性があるとのことです。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
対策
1.脆弱性の解消 - アップデートを実施
開発者が提供する情報をもとに、最新版へアップデートしてください。開発者は、本脆弱性を修正した次のバージョンをリリースしています。
---2021 年 12 月 27 日 更新---
- Java 8 及びそれ以降の場合
- Apache Log4j 2.17.0
- Java 7 の場合
- Apache Log4j 2.12.3
※2.17.0 は、CVE-2021-45105 を対応したバージョンです。
※2.12.3 は、CVE-2021-45105 を対応したバージョンです。
2.脆弱性の暫定的な回避策
---2021 年 12 月 23 日 更新---
以前の回避策は、特定の攻撃に対して不十分であったことがベンダによって明らかになりました。以下の回避策を適用することで、本脆弱性の影響を回避することが可能です。
- JndiLookup クラスをクラスパスから削除する。
また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
- Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
参考情報
- Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html - Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html - 【注意喚起】Log4jの脆弱性を狙う攻撃を多数検知、至急対策を!
https://www.lac.co.jp/lacwatch/alert/20211213_002820.html
---2021 年 12 月 14 日 更新---
本件に関するお問い合わせ先
E-mail:
更新履歴
2021年12月27日 | 影響を受けるシステム及び対策のバージョン情報に関して、記載内容を更新 |
---|---|
2021年12月23日 | 回避策に対する記載内容を更新 |
2021年12月20日 | 対策についてのベンダリリースがあったため、内容を更新 |
2021年12月14日 | 国内での攻撃が観測されたため、内容を更新 |
2021年12月13日 | 掲載 |