【概要】 項目 内容 CVE番号 CVE-2021-44228 脆弱性の種別 任意のコード実行が可能 PoC 存在 攻撃 発生 ■回避策 バージョン 回避策 2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定環境変数「L…

【概要】 2021/12/11 から iCloud の脆弱性は排除されたもよう Log4jのJNDI（Java Naming and Directory Interface） Lookup 機能では、LDAPサーバーなどのディレクトリサービス上からJavaオブジェクトを検索可能 Log4jのJNDI Lookup 機能では、単にJavaオブ…

【要点】 ◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める 【概要】■否定された緩和策 否定された緩和策 × 「log4j2.formatMsgNoLookups」の設定 × 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする × 「%m{nolookups}」「%msg{nolook…

【ニュース】 ◆LogbackにもLog4j 2と同様のリモートコード実行の問題、ただし悪用は困難 (マイナビニュース, 2021/12/15 13:51) https://news.mynavi.jp/techplus/article/20211215-2228128/