Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された
(Apache Log4j Security Vulnerabilities、
The Register の記事、
LunaSec のブログ記事、
The Verge の記事)。
この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。
これについて あるAnonymous Coward 曰く、
| Java
| デベロッパー
|
関連ストーリー:
オープンソースソフトウェアの脆弱性、2019年は前年から50%近く増加したとの調査結果
2020年03月14日
Apache HTTP Serverに複数の脆弱性
2018年03月29日
影響範囲が広がるApache Struts2の脆弱性
2017年03月21日
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か
2017年03月11日
Apache Struts 2にリモートからの任意コード実行を許す脆弱性
2017年03月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される
2016年10月22日
「Badlock」脆弱性の詳細が公開、誇大広告として批判される
2016年04月16日
glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる
2015年01月28日
OpenSSL、計8件の脆弱性を修正
2015年01月11日
2014年の教訓:サードパーティのライブラリには脆弱性がある
2015年01月05日
Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される
2014年12月20日
SSL 3.0に深刻な脆弱性が見つかる
2014年10月15日
プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む?
2014年05月05日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される
2014年04月08日
Source: スラッシュドット