Apache Log4jにおける任意のコードが実行可能な脆弱性 CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 まとめ
Apache Log4jにはJNDI Lookup機能による外部入力値の検証不備に起因して任意のJavaコードを実行可能な脆弱性が存在します。
概要と対策について記載します。
脆弱性概要
CVE-2021-45046
特定の構成において任意のコード実行が行われる可能性がある
CVE-2021-45105
再帰的(self-referential)なLookupを行う設定下において、サービス運用(DoS)が行われる脆弱性
CVE-2021-44832
攻撃者がログ出力設定を変更できる場合に限り任意のコード実行が行われる可能性
CVE-2021-44228
Apache Log4jの任意のコード実行の脆弱性
影響範囲
Apache Log4j-core 2.0-beta9から2.12.1より前のバージョン
2.13.0から2.15.0より前のバージョン
対策
最新版にアップデートする
※最新版では、Log4jのLookup機能が削除されており、JNDIへのアクセスがデフォルトで無効化されている。
- Java 8およびそれ以降のユーザ向け修正版
- Log4j 2.17.1
- Java 7のユーザ向け修正版
- Log4j 2.12.4
- Java 6のユーザ向け修正版
- Log4j 2.3.2
https://logging.apache.org/log4j/2.x/download.html
ディスカッション
コメント一覧
まだ、コメントがありません