IPA(独立行政法人情報処理推進機構)は、Apache Log4jの脆弱性について、12月14日に発表した対策を、20日に更新した。
Apache Log4jは、Apache Software Foundationがオープンソースで提供しているJavaベースのロギングライブラリ。このApache Log4jにおいて、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性がある。この脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報もあり、今後被害が拡大するおそれもあるため、対策が必要となっている。
Apache Log4jが使用されているソフトウェアなどについては、製品ベンダーから情報が公開されている可能性もあるので、各組織から提供される最新の関連情報を確認することが推奨される。
影響を受けるシステムは、バージョン2.15.0より前の2系バージョン(2.12.2を除く)、およびバージョン2.15.0の出荷候補版である2.15.0-rc1も脆弱性の影響を受けるとのこと。
また14日時点では、End of Lifeを迎えている1系のバージョンには、Lookup機能が含まれておらず、JMS Appenderが有効でもクラス情報がデシリアライズされないため影響を受けないとのことだったが、Apache Log4jの開発者によると、特定の構成の場合においては同脆弱性の影響を受ける可能性があるとのこと。
これらを踏まえ、現状での対策としては以下が挙げられている。
アップデートの実施による脆弱性の解消
Apache Log4jの開発者が提供する情報をもとに、最新版へアップデートすることが推奨される。なお、現時点での最新バージョンは2.17.0で、Java 7の場合は2.12.2となる。
脆弱性の暫定的な回避策
14日時点で発表された対策は、特定の攻撃に対して不十分であったことがベンダーによって明らかになった。現在は、JndiLookupクラスをクラスパスから削除する対策が推奨されている。
また、同脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化も検討する必要がある。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
