ガジェット

Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる

Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された
(Apache Log4j Security Vulnerabilities
The Register の記事
LunaSec のブログ記事
The Verge の記事)。

この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。

これについて あるAnonymous Coward 曰く、

Java のログ出力ライブラリ「Apache Log4j」にリモートコード実行 (RCE) の脆弱性が存在することが明らかになった。

この脆弱性を悪用するために特別な設定は不要で、「Apache Struts 2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと
(窓の杜の記事)。

プログラムで Java を導入しているところは Log4j も入っているものと考えると影響は広範囲に及ぶものと見られ、GitHub では Apple、Steam、Minecraft などでの実証した画像が公開されている。

すべて読む

| デベロッパーセクション

| Java

| デベロッパー
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

オープンソースソフトウェアの脆弱性、2019年は前年から50%近く増加したとの調査結果
2020年03月14日

Apache HTTP Serverに複数の脆弱性
2018年03月29日

影響範囲が広がるApache Struts2の脆弱性
2017年03月21日

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か
2017年03月11日

Apache Struts 2にリモートからの任意コード実行を許す脆弱性
2017年03月09日

Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される
2016年10月22日

「Badlock」脆弱性の詳細が公開、誇大広告として批判される
2016年04月16日

glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる
2015年01月28日

OpenSSL、計8件の脆弱性を修正
2015年01月11日

2014年の教訓:サードパーティのライブラリには脆弱性がある
2015年01月05日

Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される
2014年12月20日

SSL 3.0に深刻な脆弱性が見つかる
2014年10月15日

プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む?
2014年05月05日

OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される
2014年04月08日

Source: スラッシュドット