Log4Shell脆弱性に対する追加の対処が施された「Apache Log4j 2.16.0」がリリース

Apacheソフトウェア財団、「Apache Log4j 2.16.0」をリリース

　The Apache Software Foundation（ASF）は12月13日、「Apache Log4j 2.16.0」をリリースした。「CVE-2021-44228」脆弱性（通称：Log4Shell）への追加の対策が施されている。

Apache Log4j 2.16.0 is now available. Thanks to the Apache Logging Services Project Management Committee (PMC) for working around the clock to get the release out so quickly!https://t.co/fCVZWwUgN6#Apache#OpenSource#innovation#community#log4j#securitypic.twitter.com/Odhf1xawYl

— Apache - The ASF (@TheASF)December 13, 2021

　「Log4j」は、Java製のソリューション（アプリ、ゲーム、クラウドサービスなど）で広く採用されているロギングライブラリ。先週末に特定のリクエストを送出するだけでリモートから任意のコードを実行可能になる致命的な脆弱性（CVE-2021-44228、Log4Shell）が発見され、広範囲で攻撃が確認。各社は対応に追われていた。現在でも本脆弱性を悪用しようとする動きは活発なようで、一刻も早い対処が必要だ。

　ASFによると、この脆弱性は「Log4j」のJNDI（Java Naming and Directory Interface）サポートに起因するとのことで「Log4j 2.15.0」で修正された。続く「Log4j 2.15.1」では初期状態でJNDIへのアクセスが無効化されている。

　最新版の「Apache Log4j 2.16.0」ではこれらの処置に加え、JNDI機能そのものが初期状態で無効化されたほか、脆弱性のトリガーとなっていたメッセージルックアップ機能が削除された。万が一誤ってJNDI関連の機能が有効化されていても、安全に運用できるだろう。

　なお、「Java 7」の対応は「Log4j 2.12.1」が最終版となっている。「Log4j 2.15」「Apache Log4j 2.16」へアップグレードできない場合、v2.10以降であればシステムプロパティ「log4j2.formatMsgNoLookups」または環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」にすることで脆弱性を緩和できる。2.0-beta9から2.10.0までであれば、クラスパスから「JndiLookup」クラスを削除することで影響を緩和できる。