「Log4Shell」の当初緩和策を否定 - 最新版への更新を

「Apache Log4j」の開発チームは、現地時間12月14日にリリースした最新版「同2.16.0」において、前バージョンに残存したサービス拒否の脆弱性に対処したことを明らかにした。攻撃を防げないとしてこれまでアナウンスしてきた「緩和策」についても否定し、最新版へアップデートするよう求めている。

「Apache Log4j 2.14.1」および以前のバージョンに別名「Log4Shell」とされる脆弱性「CVE-2021-44228」が明らかとなった問題で、開発チームは「同2.15.0」にて修正を実施したが、デフォルト以外の特定構成に対しては修正が不完全であったことを明かした。

「同2.15.0」に更新していても、デフォルト以外のパターンレイアウトでコンテキストの「Lookup」を使用している場合、不正なデータ入力により、DoS攻撃を受けるおそれがある脆弱性「CVE-2021-45046」が存在するという。

「同2.16.0」のリリース当初、同脆弱性について言及していなかったが、あらためて「同2.16.0」にて対処したことを明らかにした。共通脆弱性評価システム「CVSSv3」のベーススコアを「3.7」、重要度を「中（Moderate）」としている。

「同2.16.0」は「Java 8」以降のユーザー向けとなるが、「Java 7」の利用者に対しても「同2.12.2」の準備を進めていることを明らかにした。まもなく利用可能となる予定。

（Security NEXT - 2021/12/15 ） ツイート

PR

関連記事

2022年に悪用が目立った脆弱性トップ12 - 2021年以前の脆弱性も引き続き標的に
「WebLogic」など既知脆弱性3件に対する攻撃に注意喚起 - 米政府
2022年はランサム攻撃が前年比21％減 - 後半で増加傾向も
米政府、ソフトウェアサプライチェーン保護のガイダンスを公開
「Apache Commons Text」に脆弱性「Text4Shell」 - 冷静な対応を
米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に
「Log4Shell」緩和する「ホットパッチ」にホスト乗っ取りが可能となる脆弱性
「Spring Core」にゼロデイ脆弱性「Spring4Shell」の指摘