同社によれば、Apache log4j 2.15.0で施したLog4Shellへの対策は不十分あったとのこと。特定のデフォルト設定以外では、JNDIルックアップパターンを用いた悪意のあるデータ入力により、DoSが可能となるCVE-2021-45046が報告されている。
CVE-2021-45046についての全貌は未だ明らかでないことから、同社はApache log4jを使用するすべてのユーザーに対して、バージョン2.16.0へのアップグレードか、手動によるパッチ適用を推奨している。
米LunaSecは、「Log4Shell」として総称されるApache log4jの脆弱性について、新たに「CVE-2021-45046」を、12月14日(現地時間)に報告した。
同社によれば、Apache log4j 2.15.0で施したLog4Shellへの対策は不十分あったとのこと。特定のデフォルト設定以外では、JNDIルックアップパターンを用いた悪意のあるデータ入力により、DoSが可能となるCVE-2021-45046が報告されている。
CVE-2021-45046についての全貌は未だ明らかでないことから、同社はApache log4jを使用するすべてのユーザーに対して、バージョン2.16.0へのアップグレードか、手動によるパッチ適用を推奨している。