2021年12月28日(米国時間)、Apache Log4j 2.16.0で確認されたLog4Shellの脆弱性の修正が完全に修正されず、新たにリモートコード実行の脆弱性(CVE-2021-44832)があることが明らかになりました。
この脆弱性はLog4j 2.17.1(Java 8)、2.12.4(Java 7)、および2.3.2(Java 6)にアップデートすることで対策可能です。
情報ソース
脆弱性の詳細
攻撃者がロギング構成ファイルを変更する権限を持った場合、データベースにログを保存する機能「Log4j JDBCAppender」を利用し、悪意のあるURLを参照することで、結果としてリモートで悪意のあるコードが実行される可能性があります。
[footnote]この脆弱性の影響を受けるのは「log4j-core.jarファイル」を使用したアプリケーションが対象です。log4j-api.jarファイルのみの場合はこの脆弱性の影響を受けません。[/footnote]
影響を受けるバージョン
バージョン2.0-alpha7~2.17.0まで
[footnote]バージョン2.3.2と2.12.4は脆弱性の対象外です。[/footnote]
対策
Apache Log4jのバージョンを確認する
▼以下の記事を参照して下さい。
[blogcard url="https://a-zs.net/apache-log4j_version_check/"]
【対策1】Log4jを最新バージョンにアップデートする
修正パッチが適用されたバージョン2.17.1(Java 8)、2.12.4(Java 7)、および2.3.2(Java 6)がリリースされています。早急にアップデートしましょう。
【対策2】JNDIのJavaプロトコルを使用するJDBCAppenderを有効にする
「JndiManager」を使用し、Log4j JDBCAppenderの「log4j2.enableJndiJdbc」システムプロパティを「有効(true)」に設定します。
この設定をすることで、JNDIのJavaプロトコルを使用するデータソースで構成されたJDBCAppenderが有効になります。
[footnote]Apache Log4jバージョン2.17.0以前ではデフォルトで「無効(false)」となっています。[/footnote]
投稿 [対策あり]Apache Log4jに一定の条件でリモートコード実行の脆弱性(CVE-2021-44832) は アーザスBlog に最初に表示されました。