ニュース

「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開

深刻度は「Moderate」

Apacheソフトウェア財団、「Apache Log4j 2.17.1」をリリース

 The Apache Software Foundation(ASF)は12月28日、ロギングライブラリ「Apache Log4j 2」に新たなリモートコード実行(RCE)の脆弱性(CVE-2021-44832)が発見されたことを明らかにした。対策版の「Apache Log4j 2.17.1」などがリリースされている。

 脆弱性の内容は、ロギング設定ファイルを変更する権限を持つ攻撃者がJNDI URIを参照するデータソースを持つJDBC Appenderを使用して、リモートから任意のコードを実行できる不正な設定を構築できてしまうというもの。影響範囲は「Apache Log4j」v2.0-beta7から2.17.0まで(下記のセキュリティアップデートは除く)。CVSS v3の基本値は「6.6」で、深刻度は「Moderate」と評価されている。

 この問題はJNDI データソース名をJavaプロトコルに限定することで修正されたとのこと。以下の対策版へのアップデートが推奨されている。

  • Java 6:Log4j 2.3.2
  • Java 7:Log4j 2.12.4
  • Java 8 以降:Log4j 2.17.1

 なお、この脆弱性はlog4j-core JARファイルのみに影響する。log4j-api JARファイルのみを利用しているアプリケーションは、本脆弱性の影響を受けない。