「Apache Log4j」に3つ目の脆弱性 ～修正版のv2.17.0が公開

Apacheソフトウェア財団、「Apache Log4j 2.17.0」をリリース

　The Apache Software Foundation（ASF）は12月17、ロギングライブラリ「Apache Log4j 2.17.0」をリリースした。新たな脆弱性「CVE-2021-45105」が発見されたとして、その修正が行われている。

　開発チームによると、JNDI LDAPルックアップ機能に起因するリモートコード実行の脆弱性（CVE-2021-44228、通称：Log4Shell）を緩和するため、「Log4j 2.15.0」ではJNDI LDAPルックアップ機能をlocalhostに限定する対策が導入されている。しかし、ログ設定でコンテキストルックアップを含むデフォルト以外のパターンレイアウト（例：$${ctx:loginId}）を使用している場合、攻撃者は再帰的なルックアップを引き起こす悪意ある入力データを作成できる。これはスタックオーバーフローエラーを引き起こしてプロセスを終了させるサービス拒否（DoS）攻撃につながりうる。

　この脆弱性の深刻度は「High」と評価されており（CVSSのベーススコアは「7.5」）、v2.0-beta9からv2.16.0までのバージョンに影響する。解決するためにはv2.17.0への更新が必要だ。「Log4j 2.17.0」ではJNDIを使用するコンポーネントをシステムプロパティで個別に有効化するように仕様が変更されたほか、JNDIのサポートプロトコルからLDAP/LDAPSが削除されている。

　なお、「Java 7」を利用中で「Log4j 2.17.0」へアップグレードできない場合は、ログ記録設定を書き換えるなどの緩和策を講じる必要がある。