Apache Log4jにおける任意のコードが実行可能な脆弱性 CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 まとめ

公開日: : News

Apache Log4jにはJNDI Lookup機能による外部入力値の検証不備に起因して任意のJavaコードを実行可能な脆弱性が存在します。
概要と対策について記載します。

スポンサーリンク

脆弱性概要

CVE-2021-45046

特定の構成において任意のコード実行が行われる可能性がある

CVE-2021-45105

再帰的(self-referential)なLookupを行う設定下において、サービス運用(DoS)が行われる脆弱性

CVE-2021-44832

攻撃者がログ出力設定を変更できる場合に限り任意のコード実行が行われる可能性

CVE-2021-44228

Apache Log4jの任意のコード実行の脆弱性

影響範囲

Apache Log4j-core 2.0-beta9から2.12.1より前のバージョン
2.13.0から2.15.0より前のバージョン

対策

最新版にアップデートする
※最新版では、Log4jのLookup機能が削除されており、JNDIへのアクセスがデフォルトで無効化されている。

  • Java 8およびそれ以降のユーザ向け修正版
    • Log4j 2.17.1
  • Java 7のユーザ向け修正版
    • Log4j 2.12.4
  • Java 6のユーザ向け修正版
    • Log4j 2.3.2

https://logging.apache.org/log4j/2.x/download.html

参考

https://logging.apache.org/log4j/2.x/security.html

AD

関連記事

glibcの脆弱性 CVE-2015-0235 GHOST まとめ

今朝起きたらRedHat社から、CVE-2015-0235 GHOSTの脆弱性が判明したからすぐに対

記事を読む

OpenSSLの脆弱性CVE-2015-0204,0205,0206,CVE-2014-3569,3570,3571,3572,8275まとめ

OpenSSLに8個の脆弱性が見つかりましたね。 CVE-2015-0204,CVE-2015-02

記事を読む

vSS 2014 お疲れ様でした

2014年11月18日 vSS2014が無事終わりました。 公式サイトはコチラね⇒http://v

記事を読む

ntpdの脆弱性CVE-2014-9293,9294,9295,9296まとめ

ntpdに4つの脆弱性が見つかりましたね。 そのうちの一つCVE-2014-9295は任意のコードが

記事を読む

Windows7に決定

なにやらWindows7(仮)がWindows7に決定したみたいですね。 Windows7っていう響

記事を読む

Message

メールアドレスが公開されることはありません。

AD

エラーコード 0x8004FE21 の原因と解決方法

ライセンス認証エラーの原因と解決方法です。 エラー内容 エラーコー

ファイルが存在するときだけコマンドを実行するbat

Windowsで、ファイルの有無(存在するかどうか)を確認して、有無に

HPE UPS R1500 G5 バッテリー持続時間目安

ヒューレット・パッカード・エンタープライズ 製 UPS R1500 G

HPE UPS R3000 G5 バッテリー持続時間目安

ヒューレット・パッカード・エンタープライズ 製 UPS R/T3000

Error Code : 0xc000000e の対応方法

0xc000000eでエラーになった時の対処法です。 エラー

→もっと見る

PAGE TOP ↑