CVE-2021-44228 – log4j - 脆弱性レポート
(unit42.paloaltonetworks.com)Java のロギングフレームワークである log4j で脆弱性が報告されました。
-
影響を受けるバージョン : 2.0 ~ 2.14.1
-
修正版 >= 2.15.0-rc1
-
Apache log4j ライブラリを使用するすべてのシステムにパッチ適用を推奨
-
主な影響対象
-
Apache Struts
-
Apache Solr
-
Apache Druid
-
Apache Flink
-
ElasticSearch
-
Flume
-
Apache Dubbo
-
Logstash
-
Kafka
-
Spring-Boot-starter-log4j2
-
7件のコメント
ああ、log4jってロギングする関数なんですか?
名前だけ見て、mathのlog4のことかと思っていました
特定の文字列を含む内容をログに残すと、Remote Code Execution (RCE) が可能になるバグです。
一方で、このセキュリティ脆弱性を利用してMinecraftサーバーをDOOMサーバーにしてしまう人まで現れたようです。Rip and Tear!
https://twitter.com/gegy1000/status/1469714451716882434
www MinecraftサーバーにまでDOOMを移植するとは……
適用範囲があまりにも広いためか、韓国国内メディアでは「コンピュータ史上最悪の脆弱性発見」という見出しで煽り商売をしているようですね…
影響を受ける製品の中には名前を聞いただけで分かるものが多いだけに、影響範囲もかなり大きいようですね。
脆弱性を再現する方法については、以下の記事に出ています。
[PC Magazine] Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit
https://pcmag.com/news/…
Spring Bootの場合は、以下のリンクに従って対応するとよいです。
https://spring.io/blog/2021/12/10/log4j2-vulnerability-and-spring-boot
maven
gradle
ext['log4j2.version'] = '2.15.0'