知って得するセキュリティのはなし その142
さらなるLog4jのセキュリティアップデート…一部回避策は非推奨、1.17.0へ更新か該当機能削除を
1.このニュースをざっくり言うと
- 12月14日および18日(いずれも日本時間)、 Javaプラットフォームでのログ取得用ライブラリ「Apache Log4j」のバージョン2(Log4j2)において、新たな脆弱性に対応した修正バージョンが相次いでリリースされています。
- Log4j2は同10日に任意のコードを実行可能な脆弱性「CVE-2021-44228(別名Log4Shell)」を修正するバージョン2.15.0がリリース(AUS便り 2021/12/14号参照)されましたが、その後14日に、同様の脆弱性である「CVE-2021-45046」を修正するバージョン2.16.0が、さらに18日には、Javaアプリケーションを強制終了させる、いわゆるサービス拒否(DoS)攻撃に繋がる脆弱性「CVE-2021-45105」を修正するバージョン2.17.0がリリースされています。
- Log4j2(バージョン2.0.0~2.16.0)を利用している全てのケースで、2.17.0へのアップデート、またはアップデートできない場合は回避策の実施が必須とされていますが、2.15.0リリース時点で挙げられていた回避策では全ての脆弱性に対応できない場合があるとして推奨されておらず、別の回避策が挙げられています。
2.執筆者からの所感等
- Java 7を使用している古いシステムでは2.15.0以降へアップデートできないため、対応バージョンである2.12.2がリリースされています(ただしCVE-2021-45105は未修正で、2.12.3で対応予定とのことです)。
- アップデートできない場合の回避策として、脆弱性の原因となる「JNDI Lookup」に関連するファイル(Jndilookup.class)をclasspathから削除することが挙げられていますが、(以前推奨されていた)コマンドラインオプションの追加等に比べ取り扱いが難しい場合があり、適切に動作するか確認すべきでしょう。
- Log4Shellの発表と前後して脆弱性を悪用する攻撃が多数報告されていますので、インターネット上のサーバーから社内のサーバー・クライアントPCまで、JavaアプリケーションないしLog4jが使用されている箇所の洗い出しとLog4j2のアップデート等による根本的対策を今一度呼び掛けるとともに、OSの設定やUTMの設置等による脆弱性侵害時の「出口対策」も併せて検討して頂ければ幸いです。