Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Log4Shell」の当初緩和策を否定 - 最新版への更新を

「Apache Log4j」の開発チームは、現地時間12月14日にリリースした最新版「同2.16.0」において、前バージョンに残存したサービス拒否の脆弱性に対処したことを明らかにした。攻撃を防げないとしてこれまでアナウンスしてきた「緩和策」についても否定し、最新版へアップデートするよう求めている。

「Apache Log4j 2.14.1」および以前のバージョンに別名「Log4Shell」とされる脆弱性「CVE-2021-44228」が明らかとなった問題で、開発チームは「同2.15.0」にて修正を実施したが、デフォルト以外の特定構成に対しては修正が不完全であったことを明かした。

「同2.15.0」に更新していても、デフォルト以外のパターンレイアウトでコンテキストの「Lookup」を使用している場合、不正なデータ入力により、DoS攻撃を受けるおそれがある脆弱性「CVE-2021-45046」が存在するという。

「同2.16.0」のリリース当初、同脆弱性について言及していなかったが、あらためて「同2.16.0」にて対処したことを明らかにした。共通脆弱性評価システム「CVSSv3」のベーススコアを「3.7」、重要度を「中(Moderate)」としている。

「同2.16.0」は「Java 8」以降のユーザー向けとなるが、「Java 7」の利用者に対しても「同2.12.2」の準備を進めていることを明らかにした。まもなく利用可能となる予定。

(Security NEXT - 2021/12/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に
「Log4Shell」緩和する「ホットパッチ」にホスト乗っ取りが可能となる脆弱性
「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘
SAP、月例セキュリティパッチ11件を新規リリース - 重要度「Hot News」の脆弱性も
マルウェア減るもランサムウェアは前年から倍増
SAP、2月の月例パッチを公開 - 重要度高い脆弱性を修正
IPA、「情報セキュリティ10大脅威 2022」を発表 - 「ゼロデイ攻撃」が新規ランクイン
「Log4Shell」の診断サービスを期間限定で - セキュアブレイン
「VAddy」の「Log4Shell」診断、無料試用でも - 1月末まで