ホーム

アプリ

[対策あり]Apache Log4jでDoS攻撃可能な脆弱性（CVE-2021-45046）

サーバー 2021/12/17 2022/01/17

Log4Shellに新たな脆弱性（CVE-2021-45046）が発見され、DoS攻撃が引き起こされる可能性があったことが明らかになりました。この脆弱性にはApache Log4j 2.16.0（最新バージョン）にアップデートすることで対応可能です。

（2021/12/21）Apache Log4jのバージョンを確認するを追加
（2021/12/20更新）3つ目の脆弱性が発見（CVE-2021-45105）を追加

情報ソース

CVE-2021-45046|NVD

Apache Log4j Security Vulnerabilities｜Log4j

4つ目の脆弱性が発見（CVE-2021-44832）

▼以下の記事を参照してください。

アーザスBlog

https://a-zs.net/apache_log4j_vulnerability_4

[対策あり]Apache Log4jに一定の条件でリモートコード実行の脆弱性(CVE-2021-44832)

2021年12月28日(米国時間)、Apache Log4j 2.16.0で確認されたLog4Shellの脆弱性の修正が完全に修正されず、新たにリモートコード実行の脆弱性(CVE-2021-44832)があることが明らかになりました。この脆弱性はLog4j 2.17.1(Java 8)、2.12.4(Java 7)、および2.3.2(Java 6)にアップデートすることで対策可能です。情報ソースLog4j – Apache Log4j Security VulnerabilitiesNVD - CVE-2021-44832脆弱性の詳細攻撃者がロギング構成ファイルを変更する権限を持った場合、データベースにログを保存する機能「Log4j JDBCAppender」を利用し、悪...

3つ目の脆弱性が発見（CVE-2021-45105）

▼以下の記事を参照してください。

アーザスBlog

https://a-zs.net/apache_log4j_vulnerability_3

[対策あり]Apache Log4jで新たな脆弱性!一定の条件でDoS攻撃が可能に（CVE-2021-45...

Apache Log4j 2.16.0でLog4Shellの脆弱性（CVE-2021-45046）が完全に修正されず、一定の条件下でDoS攻撃が可能だったことが明らかになりました。この脆弱性にはApache Log4j 2.17.0（最新バージョン）へのアップデートで対応可能です。（2021/12/21）Apache Log4jのバージョンを確認するを追加4つ目の脆弱性が発見（CVE-2021-44832）▼以下の記事を参照してください。情報ソースNVD-CVE-2021-45105|NVDApache Log4j Security Vulnerabilities｜Log4j 脆弱性の詳細Apache Log4jでDoS攻撃可能な脆弱性（CVE-2021-45046）がApache Log4j 2....

脆弱性の詳細

アーザスBlog

https://a-zs.net/apache_log4j_vulnerability

[対策あり]Apache Log4jのlookup機能にリモートコード実行のゼロデイ脆弱性(CVE-20...

Javaアプリケーションで広く使用されているログ出力ライブラリ「Apache Log4j」にリモートコード実行のゼロデイ脆弱性（通称：Log4Shell）が確認されました。既にポートスキャンやランサムウェア攻撃も確認されているため、早急に対策することをおすすめします。（2022/1/6）4つ目の脆弱性が発見（CVE-2021-44832）を追加（2021/12/21）Apache Log4jのバージョンを確認するを追加（2021/12/20）3つ目の脆弱性が発見（CVE-2021-45105）を追加（2021/12/17）新たな脆弱性が発見（CVE-2021-45046）を追加（2021/12/16）JNDI Lookup機能を...

2021年12月10日、「リモートコード実行のゼロデイ脆弱性（CVE-2021-44228）」を修正するApache Log4j 2.15.0がリリースされました。

しかし、CVE-2021-44228への対策が不十分であり、DoS攻撃が引き起こされる可能性があったことが明らかになりました。

対策

解決方法

Apache Log4jのバージョンを確認する

▼以下の記事を参照して下さい。

アーザスBlog

https://a-zs.net/apache-log4j_version_check

[まとめ]Apache Log4jのバージョンを確認する方法

2021年12月10日から「Log4Shell」をはじめとした重大なApache Log4jの脆弱性が複数確認され、世界中で注目されています。現時点ではApache Log4j 2.0～2.16.0までがこれらの脆弱性の対象となっています。Apache Log4jを使用している場合は早急にバージョンを確認しましょう。脆弱性の詳細・対策記事▼一定の条件でリモートコード実行が可能な脆弱性（CVE-2021-44832）▼一定の条件でDoS攻撃が可能な脆弱性（CVE-2021-45105）▼DoS攻撃可能な脆弱性（CVE-2021-45046）▼Log4Shell（CVE-2021-44228）【方法1】ファイル名からバージョンを確認...

【対策1】Log4jを最新バージョンにアップデートする

修正パッチが適用されたバージョン2.16.0(Java 8以降用)、2.12.2(Java 7用)がリリースされています。早急にアップデートしましょう。

Log4j – Download Apache Log4j 2

Apache Log4j 2.16.0 is now available. Thanks to the Apache Logging Services Project Management Committee (PMC) for working around the clock to get the release out so quickly!https://t.co/fCVZWwUgN6 #Apache #OpenSource #innovation #community #log4j #security pic.twitter.com/Odhf1xawYl

— Apache – The ASF (@TheASF) December 13, 2021

【対策2】クラスパスからJndiLookupクラスを削除する

以下のコマンドでlog4j-core.jarファイルからJndiLookup.classを削除します。

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

【参考】（非公式）ワクチンツール「Logout4Shell」

セキュリティシステム製品企業のCybereasonがLog4Shellのワクチンツールを公開しています。（CVE-2021-44228だけでなくCVE-2021-45046も軽減します。）

脆弱性を利用してパッチを適用するという斜め上の発想です。

GitHub – Cybereason/Logout4Shell: Use Log4Shell vulnerability to vaccinate a victim server against Log4Shell