【ブログ】 ◆Apache Log4j Vulnerability (Google Security Blog, 2021/12/17) https://security.googleblog.com/2021/12/apache-log4j-vulnerability.html

【ニュース】 ◆Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 (JPCERT/CC, 2021/12/15) https://www.jpcert.or.jp/at/2021/at210050.html ⇒ https://vul.hatenadiary.com/entry/2021/12/15/000000_3 ◆「Log4jShell」の当初緩和…

【ニュース】 ◆「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ (Security NEXT, 2021/12/17) https://www.security-next.com/132615

【概要】 https://github.com/NCSC-NL/log4shell/tree/main/software 【ニュース】 ◆オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に (窓の杜, 2021/12/16 15:29) https://forest.watch.impress.co.jp/docs/serial/…

【ニュース】 ◆「Movable Type」、10月の脆弱性対策が不十分で追加修正 - 至急アップデートを (Security NEXT, 2021/12/16) https://www.security-next.com/132555

【ニュース】 ◆JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能 (Gigazine, 2021/12/16 11:10) https://gigazine.net/news/20211216-log4j-log4shell-cve-2021-45046/

【ニュース】 ◆米国土安全保障省、バグ報奨金制度「Hack DHS」開始 (ITmedia, 2021/12/16 09:55) https://www.itmedia.co.jp/news/articles/2112/16/news076.html 【関連まとめ記事】◆全体まとめ ◆報奨金 / 懸賞金 (まとめ) https://vul.hatenadiary.com/ent…

【概要】 項目 内容 CVE番号 CVE-2021-44228 脆弱性の種別 任意のコード実行が可能 PoC 存在 攻撃 発生 ■回避策 バージョン 回避策 2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定環境変数「L…

【概要】 2021/12/11 から iCloud の脆弱性は排除されたもよう Log4jのJNDI（Java Naming and Directory Interface） Lookup 機能では、LDAPサーバーなどのディレクトリサービス上からJavaオブジェクトを検索可能 Log4jのJNDI Lookup 機能では、単にJavaオブ…

【要点】 ◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める 【概要】■否定された緩和策 否定された緩和策 × 「log4j2.formatMsgNoLookups」の設定 × 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする × 「%m{nolookups}」「%msg{nolook…

【ニュース】 ◆LogbackにもLog4j 2と同様のリモートコード実行の問題、ただし悪用は困難 (マイナビニュース, 2021/12/15 13:51) https://news.mynavi.jp/techplus/article/20211215-2228128/

【公開情報】 ◆Apache Log4jの脆弱性(CVE-2021-44228)について (NEC, 2021/12/14) https://www.support.nec.co.jp/View.aspx?id=3010103719

【ニュース】 ◆Log4j: List of vulnerable products and vendor advisories (BleepingComputer, 2021/12/14) [Log4j: 脆弱性のある製品およびベンダーアドバイザリのリスト] https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-produ…

【概要】 バージョン 備考 2.15.0 Lookup」やログメッセージの解決機能を削除。JNDIのアクセス方法を見直し 2.15.0-rc1 対策をバイパスすることが可能 2.15.0-rc2 rc1 の課題解決版 2.16.0 Lookup機能を完全に削除。また「JNDI」の機能をデフォルトで無効化 …

【ニュース】 ◆Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に (ITmedia, 2021/12/14 12:08) https://www.itmedia.co.jp/news/articles/2112/14/news098.html