12 ポイント 投稿者 tkwlsrl 2021-12-11 | 7件のコメント | WhatsAppで共有

Java のロギングフレームワークである log4j で脆弱性が報告されました。

  • 影響を受けるバージョン : 2.0 ~ 2.14.1

  • 修正版 >= 2.15.0-rc1

  • Apache log4j ライブラリを使用するすべてのシステムにパッチ適用を推奨

  • 主な影響対象

    • Apache Struts

    • Apache Solr

    • Apache Druid

    • Apache Flink

    • ElasticSearch

    • Flume

    • Apache Dubbo

    • Logstash

    • Kafka

    • Spring-Boot-starter-log4j2

7件のコメント

 
v08zbv8fvlkjasdflkj 2021-12-13

ああ、log4jってロギングする関数なんですか?

名前だけ見て、mathのlog4のことかと思っていました

 
xguru 2021-12-11

特定の文字列を含む内容をログに残すと、Remote Code Execution (RCE) が可能になるバグです。

 
kunggom 2021-12-13

一方で、このセキュリティ脆弱性を利用してMinecraftサーバーをDOOMサーバーにしてしまう人まで現れたようです。Rip and Tear!

https://twitter.com/gegy1000/status/1469714451716882434

 
budlebee 2021-12-13

www MinecraftサーバーにまでDOOMを移植するとは……

 
xguru 2021-12-11

適用範囲があまりにも広いためか、韓国国内メディアでは「コンピュータ史上最悪の脆弱性発見」という見出しで煽り商売をしているようですね…

 
kunggom 2021-12-11

影響を受ける製品の中には名前を聞いただけで分かるものが多いだけに、影響範囲もかなり大きいようですね。

脆弱性を再現する方法については、以下の記事に出ています。

[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit

https://pcmag.com/news/…

 
tkwlsrl 2021-12-11

Spring Bootの場合は、以下のリンクに従って対応するとよいです。

https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot

maven

2.15.0

gradle

ext['log4j2.version'] = '2.15.0'