ニュース
「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開
深刻度は「Moderate」
2021年12月29日 11:04
The Apache Software Foundation(ASF)は12月28日、ロギングライブラリ「Apache Log4j 2」に新たなリモートコード実行(RCE)の脆弱性(CVE-2021-44832)が発見されたことを明らかにした。対策版の「Apache Log4j 2.17.1」などがリリースされている。
脆弱性の内容は、ロギング設定ファイルを変更する権限を持つ攻撃者がJNDI URIを参照するデータソースを持つJDBC Appenderを使用して、リモートから任意のコードを実行できる不正な設定を構築できてしまうというもの。影響範囲は「Apache Log4j」v2.0-beta7から2.17.0まで(下記のセキュリティアップデートは除く)。CVSS v3の基本値は「6.6」で、深刻度は「Moderate」と評価されている。
この問題はJNDI データソース名をJavaプロトコルに限定することで修正されたとのこと。以下の対策版へのアップデートが推奨されている。
- Java 6:Log4j 2.3.2
- Java 7:Log4j 2.12.4
- Java 8 以降:Log4j 2.17.1
なお、この脆弱性はlog4j-core JARファイルのみに影響する。log4j-api JARファイルのみを利用しているアプリケーションは、本脆弱性の影響を受けない。