Apache Log4jにおける任意のコードが実行可能な脆弱性 CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832 まとめ

公開日: : News

Apache Log4jにはJNDI Lookup機能による外部入力値の検証不備に起因して任意のJavaコードを実行可能な脆弱性が存在します。
概要と対策について記載します。

スポンサーリンク

脆弱性概要

CVE-2021-45046

特定の構成において任意のコード実行が行われる可能性がある

CVE-2021-45105

再帰的(self-referential)なLookupを行う設定下において、サービス運用(DoS)が行われる脆弱性

CVE-2021-44832

攻撃者がログ出力設定を変更できる場合に限り任意のコード実行が行われる可能性

CVE-2021-44228

Apache Log4jの任意のコード実行の脆弱性

影響範囲

Apache Log4j-core 2.0-beta9から2.12.1より前のバージョン
2.13.0から2.15.0より前のバージョン

対策

最新版にアップデートする
※最新版では、Log4jのLookup機能が削除されており、JNDIへのアクセスがデフォルトで無効化されている。

  • Java 8およびそれ以降のユーザ向け修正版
    • Log4j 2.17.1
  • Java 7のユーザ向け修正版
    • Log4j 2.12.4
  • Java 6のユーザ向け修正版
    • Log4j 2.3.2

https://logging.apache.org/log4j/2.x/download.html

参考

https://logging.apache.org/log4j/2.x/security.html

AD

この記事が興味深かった場合は、SNSボタンでシェアいただけると嬉しいです。

関連記事

500GBの記録容量「ホログラフィックディスク」

容量はBlu-rayの20倍、ついに500GBの記録容量を実現した「ホログラフィックディスク」登場

記事を読む

Windows7に決定

なにやらWindows7(仮)がWindows7に決定したみたいですね。 Windows7っていう響

記事を読む

ママ、どうしておうちにサーバーがあるの? Windows Home Server

WindowsHomeServerの販促用の絵本(パンフレット)にこんな物がある。 ママ、どうしてお

記事を読む

マイクロソフトが現実世界に3Dホログラム映像を重ねる Microsoft HoloLens を発表

ゲームやアニメでよくある拡張現実が、ついに実現されそうです。 使用イメージ プロトタイプの

記事を読む

vSS 2014 お疲れ様でした

2014年11月18日 vSS2014が無事終わりました。 公式サイトはコチラね⇒http://v

記事を読む

Message

メールアドレスが公開されることはありません。

AD

ファイルが存在するときだけコマンドを実行するbat

Windowsで、ファイルの有無(存在するかどうか)を確認して、有無に

HPE UPS R1500 G5 バッテリー持続時間目安

ヒューレット・パッカード・エンタープライズ 製 UPS R1500 G

HPE UPS R3000 G5 バッテリー持続時間目安

ヒューレット・パッカード・エンタープライズ 製 UPS R/T3000

Error Code : 0xc000000e の対応方法

0xc000000eでエラーになった時の対処法です。 エラー

Error Code : 0x800f0988 の対応方法

0x800f0988でエラーになった時の対処法です。 エラー

→もっと見る

PAGE TOP ↑