DEV Community

nabbisen
nabbisen

Posted on • Edited on • Originally published at scqr.net

2 1

Log4j 2: DoS に関わる新たな脆弱性 (2.16.0 とそれ以前のバージョン)

Log4j 2.17.0 がセキュリティ向け更新のためにリリースされました。2.16.0 とそれ以前の 2 系のバージョンに存在する DoS 脆弱性を修正します。

この新たな DoS (denial-of-service) 脆弱性について、次の場合は安全です: ログ設定で、$${ctx:loginId} のような Context Lookup 設定が使われていない、デフォルトの Pattern Layout の場合。
そうでない場合は、CVSS スコアが 7.5 であり、深刻度は高いです。

Log4j 2 で、$${ctx:loginId} のような Context Lookup 設定を持つ、カスタマイズされている Pattern Layout のものに関しては、バージョンを 2.17.0 に更新することが推奨されています。CVE-2021-45105 と呼ばれる本脆弱性を修正するためです。サービスダウンを引き起こされる危険があります。

それが難しい場合は、次の方法で緩和することが可能です。Log4j 2 の非デフォルトの Context Lookup 設定を Thread Context Map パターン (%X, %mdc, or %MDC) に置き換える、あるいは、設定の中でそれらの設定への参照を削除します。
The Apache Software Foundation から情報が提供されています:
https://logging.apache.org/log4j/2.x/security.html


本記事は小社のツイートをもとにしています。

Top comments (0)

👋 Kindness is contagious

Discover a treasure trove of wisdom within this insightful piece, highly respected in the nurturing DEV Community enviroment. Developers, whether novice or expert, are encouraged to participate and add to our shared knowledge basin.

A simple "thank you" can illuminate someone's day. Express your appreciation in the comments section!

On DEV, sharing ideas smoothens our journey and strengthens our community ties. Learn something useful? Offering a quick thanks to the author is deeply appreciated.

Okay