[対策あり]Apache Log4jでDoS攻撃可能な脆弱性(CVE-2021-45046)
Log4Shellに新たな脆弱性(CVE-2021-45046)が発見され、DoS攻撃が引き起こされる可能性があったことが明らかになりました。この脆弱性にはApache Log4j 2.16.0(最新バージョン)にアップデートすることで対応可能です。
(2021/12/21)Apache Log4jのバージョンを確認するを追加
(2021/12/20更新)3つ目の脆弱性が発見(CVE-2021-45105)を追加
情報ソース
4つ目の脆弱性が発見(CVE-2021-44832)
▼以下の記事を参照してください。
3つ目の脆弱性が発見(CVE-2021-45105)
▼以下の記事を参照してください。
脆弱性の詳細
2021年12月10日、「リモートコード実行のゼロデイ脆弱性(CVE-2021-44228)」を修正するApache Log4j 2.15.0がリリースされました。
しかし、CVE-2021-44228への対策が不十分であり、DoS攻撃が引き起こされる可能性があったことが明らかになりました。
対策
Apache Log4jのバージョンを確認する
▼以下の記事を参照して下さい。
【対策1】Log4jを最新バージョンにアップデートする
修正パッチが適用されたバージョン2.16.0(Java 8以降用)、2.12.2(Java 7用)がリリースされています。早急にアップデートしましょう。
Apache Log4j 2.16.0 is now available. Thanks to the Apache Logging Services Project Management Committee (PMC) for working around the clock to get the release out so quickly!https://t.co/fCVZWwUgN6 #Apache #OpenSource #innovation #community #log4j #security pic.twitter.com/Odhf1xawYl
— Apache – The ASF (@TheASF) December 13, 2021
【対策2】クラスパスからJndiLookupクラスを削除する
以下のコマンドでlog4j-core.jarファイルからJndiLookup.classを削除します。
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
【参考】(非公式)ワクチンツール「Logout4Shell」
セキュリティシステム製品企業のCybereasonがLog4Shellのワクチンツールを公開しています。(CVE-2021-44228だけでなくCVE-2021-45046も軽減します。)
脆弱性を利用してパッチを適用するという斜め上の発想です。