検索
ニュース

IPAが「Apache Log4j脆弱性」の暫定回避方法を紹介最新バージョンへのアップデートを推奨

IPAは「Apache Log4j」の脆弱性(CVE-2021-44228)に関する対策を講じるように注意を促している。2.15.0より前の2系のバージョンが影響を受ける。

Share
Tweet
LINE
Hatena

記事の訂正について(2021/12/23 10:39)

対象のバージョンと回避法に関してIPAの情報が更新されたため、本文を一部修正しました。

 情報処理推進機構(IPA)は2021年12月13日、「Apache Log4j」で任意のコードが実行される脆弱(ぜいじゃく)性(CVE-2021-44228)に関する対策を講じるよう、注意を促した。IPAによると「この脆弱性を悪用したと思われる攻撃が既に観測されており、早急な対策が必要だ」という。

画像
IPAのWebページから引用

 Apache Log4jは、The Apache Software Foundationが提供するJava用のロギングライブラリ。見つかった脆弱性は「第三者が細工したデータ(文字列)をApache Log4jに記録させると任意のコードが実行できる」というもの。Apache Log4jの「Lookup」機能(ログにある特定の文字列を置換する機能)を悪用している。

各バージョンによって異なる暫定回避方法

 The Apache Software Foundationは、この脆弱性に対応したバージョン「Apache Log4j 2.15.0」を既に提供している。IPAは最新バージョンへのアップデートを勧めているが、暫定的な回避策も公開している。

 「JndiLookupクラス」をクラスパスから削除することで脆弱性を回避できる。

 「Apache Log4j 2.10」より前のバージョンは「JndiLookupクラス」をクラスパスから削除する。「Apache Log4j 2.10」とそれ以降のバージョンは、環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定し、Apache Log4jを実行するJava仮想マシンを起動するときにJVMフラグオプション「log4j2.formatMsgNoLookups」を指定することで脆弱性を回避できる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る