Log4jに深刻なバグが報告され多くのところで対応に追われる事態になっています。
Log4jというのは、JavaベースのロギングライブラリでOSSのフレームワークなどでも多く利用されています。
今回の脆弱性を利用するとリモートサーバで任意のコードを実行できるという極めて深刻な脆弱性です(CVE-2021-44228)
この脆弱性を利用してパッチをあてるワクチンも登場して話題です。
対象となるシステムと対策
Log4j 1.x で実行されている場合は今回の脆弱性の影響は受けないとされています。ただし既にサポート外であるという別の問題はあります。
Log4j 2系 では 2.16.0 への更新が推奨されています。
回避策として2.10 から 2.14.1利用環境では以下の設定で脆弱性のある機能の無効化が可能。
-Dlog4j2.formatMsgNoLookups=true
または環境変数に以下を設定する
LOG4J_FORMAT_MSG_NO_LOOKUPS=”true”
2021-12-20 追記
CVE-2021-45105:
https://logging.apache.org/log4j/2.x/security.html
Apache Log4j2 does not always protect from infinite recursion in lookup evaluation
コメント