0001ひよこ ★ [JP]
2021/12/29(水) 16:51:11.28ID:fI3uKUNE92021年12月29日 16時05分 公開
[井上輝一,ITmedia]
任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。
https://image.itmedia.co.jp/news/articles/2112/29/ki_1609376_log4j_vul01.jpg
新たな脆弱性(CVE-2021-44832)についての解説ページ
新たな脆弱性(CVE-2021-44832)は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系(ただし特定のセキュリティ修正バージョンを除く)。
CVSS(共通脆弱性評価システム)スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性(CVSS10.0で「致命的」)より影響レベルは低いが、直前に見つかっていたDoS(サービス拒否)攻撃の脆弱性よりは高く見積もられている(DoS攻撃に対する脆弱性は当初CVSS7.5だったが、後に5.9へ修正されている)。
実行環境がJava 8以降の場合はバージョン2.17.1へ、Java 7の場合は2.12.4へ、Java 6の場合は2.3.2へのアップデートでこの脆弱性を修正できるとしている。
影響があるのはLog4j 2系のバージョン2.17.0までの「log4j-core JAR」ファイルのみで、このファイルを使わず「log4j-api JAR」ファイルのみを利用している場合は影響を受けない。Log4jの1系や、Log4jから派生した「Log4net」「Log4cxx」などの他のプロジェクトも影響を受けないとしている。
