HOME コラム一覧 知って得するセキュリティのはなし  その142

知って得するセキュリティのはなし  その142

post_visual

さらなるLog4jのセキュリティアップデート…一部回避策は非推奨、1.17.0へ更新か該当機能削除を

1.このニュースをざっくり言うと

- 12月14日および18日(いずれも日本時間)、 Javaプラットフォームでのログ取得用ライブラリ「Apache Log4j」のバージョン2(Log4j2)において、新たな脆弱性に対応した修正バージョンが相次いでリリースされています。
- Log4j2は同10日に任意のコードを実行可能な脆弱性「CVE-2021-44228(別名Log4Shell)」を修正するバージョン2.15.0がリリース(AUS便り 2021/12/14号参照)されましたが、その後14日に、同様の脆弱性である「CVE-2021-45046」を修正するバージョン2.16.0が、さらに18日には、Javaアプリケーションを強制終了させる、いわゆるサービス拒否(DoS)攻撃に繋がる脆弱性「CVE-2021-45105」を修正するバージョン2.17.0がリリースされています。
- Log4j2(バージョン2.0.0~2.16.0)を利用している全てのケースで、2.17.0へのアップデート、またはアップデートできない場合は回避策の実施が必須とされていますが、2.15.0リリース時点で挙げられていた回避策では全ての脆弱性に対応できない場合があるとして推奨されておらず、別の回避策が挙げられています。

2.執筆者からの所感等

- Java 7を使用している古いシステムでは2.15.0以降へアップデートできないため、対応バージョンである2.12.2がリリースされています(ただしCVE-2021-45105は未修正で、2.12.3で対応予定とのことです)。
- アップデートできない場合の回避策として、脆弱性の原因となる「JNDI Lookup」に関連するファイル(Jndilookup.class)をclasspathから削除することが挙げられていますが、(以前推奨されていた)コマンドラインオプションの追加等に比べ取り扱いが難しい場合があり、適切に動作するか確認すべきでしょう。
- Log4Shellの発表と前後して脆弱性を悪用する攻撃が多数報告されていますので、インターネット上のサーバーから社内のサーバー・クライアントPCまで、JavaアプリケーションないしLog4jが使用されている箇所の洗い出しとLog4j2のアップデート等による根本的対策を今一度呼び掛けるとともに、OSの設定やUTMの設置等による脆弱性侵害時の「出口対策」も併せて検討して頂ければ幸いです。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンサービスドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、の運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし  その141

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2022/img/thumbnail/img_36_s.jpg
- 12月14日および18日(いずれも日本時間)、 Javaプラットフォームでのログ取得用ライブラリ「Apache Log4j」のバージョン2(Log4j2)において、新たな脆弱性に対応した修正バージョンが相次いでリリースされています。- Log4j2は同10日に任意のコードを実行可能な脆弱性「CVE-2021-44228(別名Log4Shell)」を修正するバージョン2.15.0がリリース(AUS便り 2021/12/14号参照)されましたが、その後14日に、同様の脆弱性である「CVE-2021-45046」を修正するバージョン2.16.0が、さらに18日には、Javaアプリケーションを強制終了させる、いわゆるサービス拒否(DoS)攻撃に繋がる脆弱性「CVE-2021-45105」を修正するバージョン2.17.0がリリースされています。- Log4j2(バージョン2.0.0~2.16.0)を利用している全てのケースで、2.17.0へのアップデート、またはアップデートできない場合は回避策の実施が必須とされていますが、2.15.0リリース時点で挙げられていた回避策では全ての脆弱性に対応できない場合があるとして推奨されておらず、別の回避策が挙げられています。
2021.12.28 15:57:40