IPA(独立行政法人情報処理推進機構)は、Apache Log4jの脆弱性について、12月14日に発表した対策を、27日に再度更新した。
Apache Log4jは、Apache Software Foundationがオープンソースで提供しているJavaベースのロギングライブラリ。このApache Log4jにおいて、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性がある。この脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報もあり、今後被害が拡大するおそれもあるため、対策が必要となっている。
今回更新された情報によると、影響を受けるとされるバージョン2.15.0より前の2系バージョンの中でも、2.12系のうちの2.12.2以降は影響を受けないことが発表された。
加えて対策面では、新たにCVE-2021-45105に対応したバージョンへのアップデートが推奨されている。具体的には、Java 8以降の場合は2.17.0、Java 7の場合は2.12.3へのアップデートが、それぞれ推奨されている。
Apache Log4jが使用されているソフトウェアなどについては、製品ベンダーから情報が公開されている可能性もあるので、各組織から提供される最新の関連情報を確認することが推奨される。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
