Apache Log4jにおける任意のコードが実行可能な脆弱性 CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 まとめ

Apache Log4jにはJNDI Lookup機能による外部入力値の検証不備に起因して任意のJavaコードを実行可能な脆弱性が存在します。
概要と対策について記載します。

脆弱性概要

CVE-2021-45046

特定の構成において任意のコード実行が行われる可能性がある

CVE-2021-45105

再帰的(self-referential)なLookupを行う設定下において、サービス運用(DoS)が行われる脆弱性

CVE-2021-44832

攻撃者がログ出力設定を変更できる場合に限り任意のコード実行が行われる可能性

CVE-2021-44228

Apache Log4jの任意のコード実行の脆弱性

影響範囲

Apache Log4j-core 2.0-beta9から2.12.1より前のバージョン
2.13.0から2.15.0より前のバージョン

対策

最新版にアップデートする
※最新版では、Log4jのLookup機能が削除されており、JNDIへのアクセスがデフォルトで無効化されている。

  • Java 8およびそれ以降のユーザ向け修正版
    • Log4j 2.17.1
  • Java 7のユーザ向け修正版
    • Log4j 2.12.4
  • Java 6のユーザ向け修正版
    • Log4j 2.3.2

https://logging.apache.org/log4j/2.x/download.html

参考

https://logging.apache.org/log4j/2.x/security.html

NewsLog4j