概要
- Apache Log4j の JNDI 機能に関わるものです。
- 深刻度合いは? CVSS で 10 点、最高スコアです。最上位のリスクレベルとされています。
詳細
CVE-2021-44228 (log4shell または log4jam とも): Log4j で見付かったリモートコード実行 (RCE) 脆弱性の影響は広範に及びます。汎用的プログラミング言語 JAVA に関わるもので、Spring / Struts / LogStash / Solr 等のメジャーなフレームワークでも内部的に使われているためです。
CVE-2021-44228 (log4shell) は、攻撃成立の条件が低く、開かれたネットワーク系のシステムでは特に危険です。2014 年の Heartbleed や Shell shock (Bashdoor) (* 英語) と並んで、歴史的に深刻な脆弱性の一つになると見なされ始めています。
Log4j を 2.15.0 へ更新することが強く推奨されています。
対応策
- log4j のバージョン を 2.15.0 (またはそれ以降) に更新することが、強く推奨されています。
次善の一時的な緩和策
なお、Log4j のアップデートが難しい場合、以下も検討できます:
- WAF を導入する。
- ver >= 2.10.0 の場合: JNDI lookup を無効化する (システム設定 log4j2.formatMsgNoLookups または 環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS)。
- 上記以外: JndiLookup をクラスパスから除外する。
本記事は小社のツイートをもとにしています。