ニュース
Log4Shell脆弱性に対する追加の対処が施された「Apache Log4j 2.16.0」がリリース
2021年12月14日 15:16
The Apache Software Foundation(ASF)は12月13日、「Apache Log4j 2.16.0」をリリースした。「CVE-2021-44228」脆弱性(通称:Log4Shell)への追加の対策が施されている。
Apache Log4j 2.16.0 is now available. Thanks to the Apache Logging Services Project Management Committee (PMC) for working around the clock to get the release out so quickly!https://t.co/fCVZWwUgN6#Apache#OpenSource#innovation#community#log4j#securitypic.twitter.com/Odhf1xawYl
— Apache - The ASF (@TheASF)December 13, 2021
「Log4j」は、Java製のソリューション(アプリ、ゲーム、クラウドサービスなど)で広く採用されているロギングライブラリ。先週末に特定のリクエストを送出するだけでリモートから任意のコードを実行可能になる致命的な脆弱性(CVE-2021-44228、Log4Shell)が発見され、広範囲で攻撃が確認。各社は対応に追われていた。現在でも本脆弱性を悪用しようとする動きは活発なようで、一刻も早い対処が必要だ。
ASFによると、この脆弱性は「Log4j」のJNDI(Java Naming and Directory Interface)サポートに起因するとのことで「Log4j 2.15.0」で修正された。続く「Log4j 2.15.1」では初期状態でJNDIへのアクセスが無効化されている。
最新版の「Apache Log4j 2.16.0」ではこれらの処置に加え、JNDI機能そのものが初期状態で無効化されたほか、脆弱性のトリガーとなっていたメッセージルックアップ機能が削除された。万が一誤ってJNDI関連の機能が有効化されていても、安全に運用できるだろう。
なお、「Java 7」の対応は「Log4j 2.12.1」が最終版となっている。「Log4j 2.15」「Apache Log4j 2.16」へアップグレードできない場合、v2.10以降であればシステムプロパティ「log4j2.formatMsgNoLookups」または環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」にすることで脆弱性を緩和できる。2.0-beta9から2.10.0までであれば、クラスパスから「JndiLookup」クラスを削除することで影響を緩和できる。