[対策あり]Apache Log4jでDoS攻撃可能な脆弱性(CVE-2021-45046)

サーバー
[対策あり]Log4Shellに新たな脆弱性(CVE-2021-45046)

Log4Shellに新たな脆弱性(CVE-2021-45046)が発見され、DoS攻撃が引き起こされる可能性があったことが明らかになりました。この脆弱性にはApache Log4j 2.16.0(最新バージョン)にアップデートすることで対応可能です。

(2021/12/21)Apache Log4jのバージョンを確認するを追加
(2021/12/20更新)3つ目の脆弱性が発見(CVE-2021-45105)を追加

情報ソース

4つ目の脆弱性が発見(CVE-2021-44832)

▼以下の記事を参照してください。

3つ目の脆弱性が発見(CVE-2021-45105)

▼以下の記事を参照してください。

脆弱性の詳細

2021年12月10日、「リモートコード実行のゼロデイ脆弱性(CVE-2021-44228)」を修正するApache Log4j 2.15.0がリリースされました。

しかし、CVE-2021-44228への対策が不十分であり、DoS攻撃が引き起こされる可能性があったことが明らかになりました。

対策

解決方法

Apache Log4jのバージョンを確認する

▼以下の記事を参照して下さい。

【対策1】Log4jを最新バージョンにアップデートする

修正パッチが適用されたバージョン2.16.0(Java 8以降用)、2.12.2(Java 7用)がリリースされています。早急にアップデートしましょう。

【対策2】クラスパスからJndiLookupクラスを削除する

以下のコマンドでlog4j-core.jarファイルからJndiLookup.classを削除します。

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

【参考】(非公式)ワクチンツール「Logout4Shell」

セキュリティシステム製品企業のCybereasonがLog4Shellのワクチンツールを公開しています。(CVE-2021-44228だけでなくCVE-2021-45046も軽減します。)

脆弱性を利用してパッチを適用するという斜め上の発想です。