IPA(独立行政法人情報処理推進機構)は、Apache Log4jの脆弱性について、12月14日時点での対策を発表している。
Apache Log4jは、Apache Software Foundationがオープンソースで提供しているJavaベースのロギングライブラリ。このApache Log4jにおいて、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性がある。この脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報もあり、今後被害が拡大するおそれもあるため、対策が必要となっている。
影響を受けるシステムは、バージョン2.15.0より前の2系バージョン、およびバージョン2.15.0の出荷候補版である2.15.0-rc1も脆弱性の影響を受けるとのこと。なお、すでにEnd of Lifeを迎えている1系のバージョンは、Lookup機能が含まれておらず、JMS Appenderが有効でもクラス情報がデシリアライズされないため影響を受けないとの情報を確認している。
現状での対策としては以下が挙げられている。
アップデートの実施による脆弱性の解消
Apache Log4jの開発者は、同脆弱性を修正したバージョン2.15.0をリリースしており、開発者が提供する情報をもとに、最新版へのアップデートできる。なお、現時点での最新バージョンは2.16.0。
脆弱性の暫定的な回避策
The Apache Software Foundationから、Log4jのバージョンに応じた回避策に関する情報が公開されている。
バージョン2.10およびそれ以降
- Log4jを実行するJava仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを指定する
- 環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する
バージョン2.10より前
JndiLookupクラスをクラスパスから削除する
また、同脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化も検討する必要がある。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
