Log4j 2: DoS に関わる新たな脆弱性 (2.16.0 とそれ以前のバージョン)

nabbisen - Dec 19 '21 - - Dev Community

Log4j 2.17.0 がセキュリティ向け更新のためにリリースされました。2.16.0 とそれ以前の 2 系のバージョンに存在する DoS 脆弱性を修正します。

この新たな DoS (denial-of-service) 脆弱性について、次の場合は安全です: ログ設定で、$${ctx:loginId} のような Context Lookup 設定が使われていない、デフォルトの Pattern Layout の場合。
そうでない場合は、CVSS スコアが 7.5 であり、深刻度は高いです。

Log4j 2 で、$${ctx:loginId} のような Context Lookup 設定を持つ、カスタマイズされている Pattern Layout のものに関しては、バージョンを 2.17.0 に更新することが推奨されています。CVE-2021-45105 と呼ばれる本脆弱性を修正するためです。サービスダウンを引き起こされる危険があります。

それが難しい場合は、次の方法で緩和することが可能です。Log4j 2 の非デフォルトの Context Lookup 設定を Thread Context Map パターン (%X, %mdc, or %MDC) に置き換える、あるいは、設定の中でそれらの設定への参照を削除します。
The Apache Software Foundation から情報が提供されています:
https://logging.apache.org/log4j/2.x/security.html


本記事は小社のツイートをもとにしています。

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .