Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Log4Shell」緩和する「ホットパッチ」にホスト乗っ取りが可能となる脆弱性

脆弱性「Log4Shell」対策として「Amazon Web Services(AWS)」が提供した「ホットパッチ」に、コンテナ外へアクセスが可能となったり、権限の昇格が生じる脆弱性が含まれていることが明らかとなった。アップデートが提供されている。

「ホットパッチ」は、脆弱な「Apache Log4j」が稼働しつつも、すぐにアップデートできないユーザーを一時的に保護し、対処する時間などを確保できるよう現地時間2021年12月14日にリリースされた脆弱性の緩和プログラム。AWS環境以外にも適用できる。

インストールすると実行中のJVMプロセスにJavaエージェントを挿入。依存関係で含まれる場合やクラスパス上の複数インスタンスなども含め、実行中の「Javaアプリケーション」「Javaコンテナ」において「CVE-2021-44228」「CVE-2021-4504」の影響を自動的に緩和する機能を提供している。

「ホットパッチ」により「Log4Shell」を緩和できる一方、今回あらたに別の脆弱性「CVE-2021-3100」「CVE-2021-3101」「CVE-2022-0070」「CVE-2022-0071」が存在することが判明した。

脆弱性を発見、報告したPalo Alto Networksによれば、サーバやクラスタに同ツールをインストールしている場合、脆弱性を悪用することで基盤となるホストを乗っ取ることが可能だという。

(Security NEXT - 2022/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apache Tomcat」に脆弱性 - 2月までの更新で修正済み
SonicWallのVPN製品に複数の脆弱性 - アップデートが公開
米政府、「CVE-2022-26925」を緊急対応リストから一時削除 - DCへの影響で
「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
トレンド製「スマートホームスキャナー」のインストーラに脆弱性 - 最新版の利用を
Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘
「BIG-IP」脆弱性に注意 - 実証コード公開済み、探索や悪用も
「Chrome 101.0.4951.64」がリリース - 13件のセキュリティ修正を実施
Adobe、「Framemaker」「InDesign」など5製品でセキュリティ更新
2021年に悪用多かった脆弱性トップ15 - 首位は「Log4Shell」、VPNも引き続き標的に