やじうまの杜
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】
「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。
2021年12月10日 14:22
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行(RCE)のゼロデイ脆弱性が存在することが明らかになり、波紋が広がっています。
Apache Log4j2 jndi RCE#apache#rcehttps://t.co/ZDmc7S9WW7pic.twitter.com/CdSlSCytaD
— p0rz9 (@P0rZ9)December 9, 2021
悪用は極めて容易で、一般ユーザーに身近なところでは「Minecraft」にも影響が出ているとのことで、サーバーを一時閉鎖したり、一斉アップデートする騒ぎにまで発展しています。
マイクラサーバー界隈全体への注意喚起です#整地鯖pic.twitter.com/2YidgCyiJh
— うんちゃま (@tsukkkkkun)December 9, 2021
ニュースサイト「Cyber Kendra」によると、この脆弱性は11月24日にAlibaba Cloudのセキュリティチームによって報告されたとのこと。攻撃者が悪意のあるリクエストを送出すると、任意のコードがリモートから実行されてしまう可能性があります。
この脆弱性を悪用するために特別な設定は不要で、「Apache Struts2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと。脆弱性の影響を受ける「Log4j」のバージョンはv2.0からv2.14.1までで、CVE番号はまだ割り当てられていません。
「Log4j」は幅広く用いられているため、今までに挙げたソフトやフレームワーク、サービスのほかにも影響するものはかなり多そうです(「Steam」や「Apple iCloud」も影響を受けるとの情報も)。すでに対策版(v2.15.0)はすでにリリースされているようなので、一刻も早い対策が望まれます。
[2021年12月10日18:45編集部追記] 「GitHub Advisory Database」によると「Log4j」の脆弱性は「CVE-2021-44228」のCVE番号が割り当てられるとのこと。現在のところ、脆弱性データベースサイト「NVD」では当該ページが予約済みの状態になっているが、いずれ公開されるものと思われる。
また、「Minecraft」のサーバーに関する影響は大きいようで、Twitterでは解説や注意喚起のツイートが相次いでいる。起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サーバーをすぐにアップデートできない場合は、試して見る価値があるだろう。
【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。https://t.co/8EWDGwrLWI
— SaziumR (@SaziumR)December 10, 2021
ちょっと移動中で詳しく確認できてないんですが、log4j2に任意コード実行の脆弱性があり、Minecraftサーバー等で任意のコードが実行できるらしいので、サーバー管理者各位は今すぐlog4j2を使用しているソフトウェアを更新しましょう
— RyotaK (@ryotkak)December 9, 2021