[対策あり]Apache Log4jに一定の条件でリモートコード実行の脆弱性(CVE-2021-44832)

サーバー

2021年12月28日(米国時間)、Apache Log4j 2.16.0で確認されたLog4Shellの脆弱性の修正が完全に修正されず、新たにリモートコード実行の脆弱性(CVE-2021-44832)があることが明らかになりました。

この脆弱性はLog4j 2.17.1(Java 8)、2.12.4(Java 7)、および2.3.2(Java 6)にアップデートすることで対策可能です。

情報ソース

Log4j – Apache Log4j Security Vulnerabilities
NVD – CVE-2021-44832

脆弱性の詳細

攻撃者がロギング構成ファイルを変更する権限を持った場合、データベースにログを保存する機能「Log4j JDBCAppender」を利用し、悪意のあるURLを参照することで、結果としてリモートで悪意のあるコードが実行される可能性があります。

この脆弱性の影響を受けるのは「log4j-core.jarファイル」を使用したアプリケーションが対象です。log4j-api.jarファイルのみの場合はこの脆弱性の影響を受けません。

影響を受けるバージョン

バージョン2.0-alpha7~2.17.0まで

バージョン2.3.2と2.12.4は脆弱性の対象外です。

対策

解決方法

Apache Log4jのバージョンを確認する

▼以下の記事を参照して下さい。

アーザスBlog
 
https://a-zs.net/apache-log4j_version_check
2021.12.21
[まとめ]Apache Log4jのバージョンを確認する方法
2021年12月10日から「Log4Shell」をはじめとした重大なApache Log4jの脆弱性が複数確認され、世界中で注目されています。現時点ではApache Log4j 2.0~2.16.0までがこれらの脆弱性の対象となっています。Apache Log4jを使用している場合は早急にバージョンを確認しましょう。脆弱性の詳細・対策記事▼一定の条件でリモートコード実行が可能な脆弱性(CVE-2021-44832)▼一定の条件でDoS攻撃が可能な脆弱性(CVE-2021-45105)▼DoS攻撃可能な脆弱性(CVE-2021-45046)▼Log4Shell(CVE-2021-44228)【方法1】ファイル名からバージョンを確認...

【対策1】Log4jを最新バージョンにアップデートする

修正パッチが適用されたバージョン2.17.1(Java 8)、2.12.4(Java 7)、および2.3.2(Java 6)がリリースされています。早急にアップデートしましょう。

Log4j – Download Apache Log4j 2

【対策2】JNDIのJavaプロトコルを使用するJDBCAppenderを有効にする

「JndiManager」を使用し、Log4j JDBCAppenderの「log4j2.enableJndiJdbc」システムプロパティを「有効(true)」に設定します。

この設定をすることで、JNDIのJavaプロトコルを使用するデータソースで構成されたJDBCAppenderが有効になります。

Apache Log4jバージョン2.17.0以前ではデフォルトで「無効(false)」となっています。