Log4Shell

Log4jに深刻なバグが報告され多くのところで対応に追われる事態になっています。

Log4jというのは、JavaベースのロギングライブラリでOSSのフレームワークなどでも多く利用されています。

今回の脆弱性を利用するとリモートサーバで任意のコードを実行できるという極めて深刻な脆弱性です(CVE-2021-44228)

NVD - CVE-2021-44228

nvd.nist.gov

この脆弱性を利用してパッチをあてるワクチンも登場して話題です。

GitHub - Cybereason/Logout4Shell: Use Log4Shell vulnerability to vaccinate a victim server against Log4Shell

Use Log4Shell vulnerability to vaccinate a victim server against Log4Shell - GitHub - Cybereason/Logout4Shell: Use Log4Shell vulnerability to vaccinate a victim...

github.com

対象となるシステムと対策

Log4j 1.x で実行されている場合は今回の脆弱性の影響は受けないとされています。ただし既にサポート外であるという別の問題はあります。

Log4j 2系 では 2.16.0 への更新が推奨されています。

回避策として2.10 から 2.14.1利用環境では以下の設定で脆弱性のある機能の無効化が可能。

-Dlog4j2.formatMsgNoLookups=true

または環境変数に以下を設定する

LOG4J_FORMAT_MSG_NO_LOOKUPS=”true”

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

www.jpcert.or.jp

2021-12-20 追記

Apache Log4jにまた脆弱性、バージョン2.17.0公開

Apache Log4j 2.0-alpha1～2.16.0にDoSの脆弱性が見つかった。

japan.zdnet.com

Log4j 2.17.0をリリースした。

CVE-2021-45105:
Apache Log4j2 does not always protect from infinite recursion in lookup evaluation

https://logging.apache.org/log4j/2.x/security.html