「Apache Log4j 2.15.0」のLog4Shell脆弱性対策は不完全、v2.16.0への更新を ～Java 7ユーザーにはv2.12.2を提供

Apacheソフトウェア財団、「Apache Log4j 2.16.0」をリリース

　The Apache Software Foundation（ASF）は12月14日、ロギングライブラリ「Apache Log4j 2.15.0」で実施された「Log4Shell」脆弱性（CVE-2021-44228）への対策が不完全であったことを明らかにした。

　開発チームによると、「Log4j 2.15.0」では任意コード実行につながるJNDI LDAPルックアップ機能をlocalhostに限定する対策が導入されているが、これは不十分であったという。JNDIルックアップパターンを用いて悪意のある入力データを作成することで、特定のデフォルト設定以外ではサービス拒否攻撃（DoS）を許す問題（CVE-2021-45046）が残されていた。

　「CVE-2021-45046」は、13日付けでリースされた「Log4j 2.16.0」で対処されている。システムプロパティ「log4j2.noFormatMsgLookup」を「true」に変更するといった以前に案内されていた緩和策は、このDoS脆弱性には効果がないようなので注意したい。

　また、「Log4j」の「Java 7」対応は「Log4j 2.12.1」が最終のはずであったが、脆弱性の影響を鑑み「Log4j 2.12.2」がリリースされた。「Log4j 2.16.0」へすぐにアップグレードできない「Java 7」ユーザーは、「Log4j 2.12.2」の利用を推奨する。