![[対策あり]Log4Shellに新たな脆弱性(CVE-2021-45046)](http://a-zs.net/wordpress/wp-content/uploads/2121/12/apache_log4j_vulnerability_2-eye.png)
Log4Shellに新たな脆弱性(CVE-2021-45046)が発見され、DoS攻撃が引き起こされる可能性があったことが明らかになりました。この脆弱性にはApache Log4j 2.16.0(最新バージョン)にアップデートすることで対応可能です。
情報ソース
脆弱性の詳細
[blogcard url="https://a-zs.net/apache_log4j_vulnerability/"]
2021年12月10日、「リモートコード実行のゼロデイ脆弱性(CVE-2021-44228)」を修正するApache Log4j 2.15.0がリリースされました。
しかし、CVE-2021-44228への対策が不十分であり、DoS攻撃が引き起こされる可能性があったことが明らかになりました。
対策
【対策1】Log4jを最新バージョンにアップデートする
修正パッチが適用されたバージョン2.16.0(Java 8以降用)、2.12.2(Java 7用)がリリースされています。早急にアップデートしましょう。
Apache Log4j 2.16.0 is now available. Thanks to the Apache Logging Services Project Management Committee (PMC) for working around the clock to get the release out so quickly!https://t.co/fCVZWwUgN6 #Apache #OpenSource #innovation #community #log4j #security pic.twitter.com/Odhf1xawYl
— Apache - The ASF (@TheASF) December 13, 2021
【対策2】クラスパスからJndiLookupクラスを削除する
以下のコマンドでlog4j-core.jarファイルからJndiLookup.classを削除します。
[shell]zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
[/shell]
【参考】(非公式)ワクチンツール「Logout4Shell」
セキュリティシステム製品企業のCybereasonがLog4Shellのワクチンツールを公開しています。(CVE-2021-44228だけでなくCVE-2021-45046も軽減します。)
脆弱性を利用してパッチを適用するという斜め上の発想です。
投稿 [対策あり]Apache Log4jでDoS攻撃可能な脆弱性(CVE-2021-45046) は アーザスBlog に最初に表示されました。