TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

ライブラリ: Apache Log4j

Log4j脆弱性に組織の72%が現在も脆弱 - Tenable

【ニュース】 ◆Log4j脆弱性に組織の72%が現在も脆弱 - Tenable (マイナビニュース, 2022/12/01 19:02) https://news.mynavi.jp/techplus/article/20221201-2526976/

Log4Shell 4 Months Later: Are You Still Vulnerable?

【図表】 出典: https://www.rezilion.com/wp-content/uploads/2022/04/Log4Shell-4-Months-Later.pdf 【資料】 ◆Log4Shell 4 Months Later: Are You Still Vulnerable? (Rezilion, 2022/04/27) https://www.rezilion.com/wp-content/uploads/2022/04/Log4Sh…

最悪の脆弱性「Log4Shell」、依然として数百万のJavaアプリに存在

【ニュース】 ◆最悪の脆弱性「Log4Shell」、依然として数百万のJavaアプリに存在 (マイナビニュース, 2022/04/28 12:17) https://news.mynavi.jp/techplus/article/20220428-2332533/

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

【ニュース】 ◆米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 (TechCrunch, 2022/01/06) https://jp.techcrunch.com/2022/01/06/2022-01-05-ftc-legal-action-log4j/

「Apache Log4j」にあらたな脆弱性 - アップデートがリリース

【概要】■脆弱性の内容 JDBCAppenderを用いて悪意ある設定が可能 攻撃者がログ設定ファイルを変更する権限を持っている場合に攻撃可能 ■脆弱性が発動する条件 log4j-coreのJARファイルのみに存在 log4j-api」のJARファイルのみを使用するアプリケーションに…

「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開

【ニュース】 ◆「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開 (ITmedia, 2021/12/9 16:05) https://www.itmedia.co.jp/news/articles/2112/29/news060.html

「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開

【ニュース】 ◆「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開 (窓の杜, 2021/12/29 11:04) https://forest.watch.impress.co.jp/docs/news/1377994.html

Log4j 2.17.1 out now, fixes new remote code execution bug

【ニュース】 ◆Log4j 2.17.1 out now, fixes new remote code execution bug (BleepingComputer, 2021/12/28 15:12) https://www.bleepingcomputer.com/news/security/log4j-2171-out-now-fixes-new-remote-code-execution-bug/

Log4j [脆弱性] (まとめ)

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ …

懸念される第二段階 最悪の脆弱性「Log4Shell」

【ニュース】 ◆懸念される第二段階 最悪の脆弱性「Log4Shell」 (クラウドWatch, 2021/12/20 11:44) https://cloud.watch.impress.co.jp/docs/column/infostand/1375477.html

MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート

【ニュース】 ◆MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート (Security NEXT, 2021/12/20) https://www.security-next.com/132668

「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる

【ニュース】 ◆「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる (Wired, 2021/12/18 09:00) https://wired.jp/2021/12/18/log4j-log4shell-vulnerability-ransomware-second-wave/ 【関連まとめ記事】◆全体まとめ ◆Log4Shell…

Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS

【図表】 出典: https://www.bleepingcomputer.com/news/security/upgraded-to-log4j-216-surprise-theres-a-217-fixing-dos/【ニュース】 ◆Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS (BleepingComputer, 2021/12/18 05:29) [log4j 2.16…

「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ

【ニュース】 ◆「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ (Security NEXT, 2021/12/17) https://www.security-next.com/132615

CVE-2021-45046 (まとめ)

【ニュース】 ◆Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (JPCERT/CC, 2021/12/15) https://www.jpcert.or.jp/at/2021/at210050.html ⇒ https://vul.hatenadiary.com/entry/2021/12/15/000000_3 ◆「Log4jShell」の当初緩和…

Apache Log4j Vulnerability (Google)

【ブログ】 ◆Apache Log4j Vulnerability (Google Security Blog, 2021/12/17) https://security.googleblog.com/2021/12/apache-log4j-vulnerability.html

JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能

【ニュース】 ◆JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能 (Gigazine, 2021/12/16 11:10) https://gigazine.net/news/20211216-log4j-log4shell-cve-2021-45046/

オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に

【概要】 https://github.com/NCSC-NL/log4shell/tree/main/software 【ニュース】 ◆オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に (窓の杜, 2021/12/16 15:29) https://forest.watch.impress.co.jp/docs/serial/…

「Log4jShell」の当初緩和策を否定 - 最新版への更新を

【要点】 ◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める 【概要】■否定された緩和策 否定された緩和策 × 「log4j2.formatMsgNoLookups」の設定 × 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする × 「%m{nolookups}」「%msg{nolook…

Apple、iCloudのLog4Shell問題を修正~過去10年で最悪の脆弱性

【概要】 2021/12/11 から iCloud の脆弱性は排除されたもよう Log4jのJNDI(Java Naming and Directory Interface) Lookup 機能では、LDAPサーバーなどのディレクトリサービス上からJavaオブジェクトを検索可能 Log4jのJNDI Lookup 機能では、単にJavaオブ…

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

【概要】 項目 内容 CVE番号 CVE-2021-44228 脆弱性の種別 任意のコード実行が可能 PoC 存在 攻撃 発生 ■回避策 バージョン 回避策 2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定環境変数「L…

Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に

【ニュース】 ◆Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に (ITmedia, 2021/12/14 12:08) https://www.itmedia.co.jp/news/articles/2112/14/news098.html

GA版「Apache Log4j 2.16.0」がリリース - 脆弱性の原因機能を削除

【概要】 バージョン 備考 2.15.0 Lookup」やログメッセージの解決機能を削除。JNDIのアクセス方法を見直し 2.15.0-rc1 対策をバイパスすることが可能 2.15.0-rc2 rc1 の課題解決版 2.16.0 Lookup機能を完全に削除。また「JNDI」の機能をデフォルトで無効化 …

Log4j: List of vulnerable products and vendor advisories

【ニュース】 ◆Log4j: List of vulnerable products and vendor advisories (BleepingComputer, 2021/12/14) [Log4j: 脆弱性のある製品およびベンダーアドバイザリのリスト] https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-produ…

Apache Log4jの脆弱性(CVE-2021-44228)について

【公開情報】 ◆Apache Log4jの脆弱性(CVE-2021-44228)について (NEC, 2021/12/14) https://www.support.nec.co.jp/View.aspx?id=3010103719

「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性

【ニュース】 ◆「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性 (Security NEXT, 2021/12/13) https://www.security-next.com/132387 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entry/Log4j

Javaの「Log4j」ライブラリーに深刻な脆弱性、第三者が任意のコードを実行可能

【ニュース】 ◆Javaの「Log4j」ライブラリーに深刻な脆弱性、第三者が任意のコードを実行可能 (日経XTECH, 2021/12/13) https://xtech.nikkei.com/atcl/nxt/news/18/11854/ 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entr…

「Apache Log4j」の脆弱性、VMwareの36製品に影響

【ニュース】 ◆「Apache Log4j」の脆弱性、VMwareの36製品に影響 (Security NEXT, 2021/12/13) https://www.security-next.com/132381 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entry/Log4j

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

【ニュース】 ◆iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる (TechCrunch, 2021/12/13) https://jp.techcrunch.com/2021/12/13/2021-12-10-apple-icloud-twitter-and-minecraft-vuln…

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

【概要】■Apache Log4j バージョン 1 バージョン 1 にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けない ■脆弱な機能 JNDI lookup機能 ログとして記録された文字列を加工してランタイムに出力する役割を…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022