IPAやJPCERT/CCから『Apache Log4jの脆弱性(CVE-2021-44228)に関する注意喚起』が報告されています。
1 概要
Apache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があり、Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があると報告しています。
また、本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があり、今後被害が拡大するおそれがあるため、至急、対策を実施する必要があります。
2 対象
本脆弱性の影響を受けるバージョンは、以下のとおりです。
- Apache Log4j-core 2.15.0より前の2系のバージョン
※Apache Log4j 1 系のバージョンは、Lookup 機能が含まれておらず、JMS Appender が有効でもクラス情報がデシリアライズされないため影響を受けないとのことです。
3 対策
開発者が提供する下記サイトの情報を確認して、アップデート等の対策を取りましょう。
- Apache Log4j Security Vulnerabilities
Apache Log4j Security Vulnerabilities
- Download Apache Log4j 2
https://logging.apache.org/log4j/2.x/download.html
- 関連リンク
- 【ガイドブック】
-
- 全般的な脅威と対策は ⇒ ガイドブック『中小企業向けサイバーセキュリティ対策の極意』
- 相談先クイックリスト