DEV Community

nabbisen
nabbisen

Posted on • Edited on • Originally published at scqr.net

1 1

Apache Log4j RCE 脆弱性 (CVE-2021-44228) に関して

概要

  • Apache Log4j の JNDI 機能に関わるものです。
  • 深刻度合いは? CVSS で 10 点、最高スコアです。最上位のリスクレベルとされています。

詳細

CVE-2021-44228 (log4shell または log4jam とも): Log4j で見付かったリモートコード実行 (RCE) 脆弱性の影響は広範に及びます。汎用的プログラミング言語 JAVA に関わるもので、Spring / Struts / LogStash / Solr 等のメジャーなフレームワークでも内部的に使われているためです。

CVE-2021-44228 (log4shell) は、攻撃成立の条件が低く、開かれたネットワーク系のシステムでは特に危険です。2014 年の HeartbleedShell shock (Bashdoor) (* 英語) と並んで、歴史的に深刻な脆弱性の一つになると見なされ始めています。

Log4j を 2.15.0 へ更新することが強く推奨されています。

対応策

  • log4j のバージョン を 2.15.0 (またはそれ以降) に更新することが、強く推奨されています。

次善の一時的な緩和策

なお、Log4j のアップデートが難しい場合、以下も検討できます:

  • WAF を導入する。
  • ver >= 2.10.0 の場合: JNDI lookup を無効化する (システム設定 log4j2.formatMsgNoLookups または 環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS)。
  • 上記以外: JndiLookup をクラスパスから除外する。

本記事は小社のツイートをもとにしています。

Do your career a big favor. Join DEV. (The website you're on right now)

It takes one minute, it's free, and is worth it for your career.

Get started

Community matters

Top comments (0)

👋 Kindness is contagious

Discover a treasure trove of wisdom within this insightful piece, highly respected in the nurturing DEV Community enviroment. Developers, whether novice or expert, are encouraged to participate and add to our shared knowledge basin.

A simple "thank you" can illuminate someone's day. Express your appreciation in the comments section!

On DEV, sharing ideas smoothens our journey and strengthens our community ties. Learn something useful? Offering a quick thanks to the author is deeply appreciated.

Okay