「Apache Log4j 2.17.0」が公開 - サービス拒否の脆弱性を修正

「Apache Log4j」の開発チームは、最新版となる「Apache Log4j 2.17.0」をリリースした。サービス拒否の脆弱性に対処したという。

デフォルト以外のログ設定を行った場合、自己参照の「Lookup」機能における再帰的な処理で不正なデータを扱うとスタックオーバーフローのエラーが発生し、サービス拒否が生じるおそれがある脆弱性「CVE-2021-45105」が判明したという。

同脆弱性は「同2.16.0」および以前のユーザーに影響があり、重要度は、上から2番目にあたる「高（High）」。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」とレーティングされている。

開発チームでは、脆弱性に対処した「Apache Log4j 2.17.0」をリリース。脆弱性の影響を軽減する緩和策をアナウンスしている。

（Security NEXT - 2021/12/20 ） ツイート

PR

関連記事

Oracleが補完パッチ、5製品35件の脆弱性を修正 - クリティカル11件
「PAN-OS」の認証回避脆弱性、詳細公開で悪用懸念高まる
米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
「LiteSpeed cPanel Plugin」に脆弱性 - すでに悪用も、侵害有無の確認を
「Samba」にRCEなど6件の脆弱性 - 修正パッチを公開
「GitLab」にアップデート - 脆弱性7件を修正
Veeamのプロバイダ向け管理ツールに深刻な脆弱性
「Chrome」に151件の脆弱性 - 22件が「クリティカル」
Ubiquiti製ネットワーク機器の「UniFi OS」にクリティカル脆弱性
「Google Cloud Apigee」にSSRF脆弱性 - トークン漏洩のおそれ