ライブラリ: Apache Log4j
【ニュース】 ◆Log4j脆弱性に組織の72%が現在も脆弱 - Tenable (マイナビニュース, 2022/12/01 19:02) https://news.mynavi.jp/techplus/article/20221201-2526976/
【図表】 出典: https://www.rezilion.com/wp-content/uploads/2022/04/Log4Shell-4-Months-Later.pdf 【資料】 ◆Log4Shell 4 Months Later: Are You Still Vulnerable? (Rezilion, 2022/04/27) https://www.rezilion.com/wp-content/uploads/2022/04/Log4Sh…
【ニュース】 ◆最悪の脆弱性「Log4Shell」、依然として数百万のJavaアプリに存在 (マイナビニュース, 2022/04/28 12:17) https://news.mynavi.jp/techplus/article/20220428-2332533/
【ニュース】 ◆米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 (TechCrunch, 2022/01/06) https://jp.techcrunch.com/2022/01/06/2022-01-05-ftc-legal-action-log4j/
【概要】■脆弱性の内容 JDBCAppenderを用いて悪意ある設定が可能 攻撃者がログ設定ファイルを変更する権限を持っている場合に攻撃可能 ■脆弱性が発動する条件 log4j-coreのJARファイルのみに存在 log4j-api」のJARファイルのみを使用するアプリケーションに…
【ニュース】 ◆「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開 (ITmedia, 2021/12/9 16:05) https://www.itmedia.co.jp/news/articles/2112/29/news060.html
【ニュース】 ◆「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開 (窓の杜, 2021/12/29 11:04) https://forest.watch.impress.co.jp/docs/news/1377994.html
【ニュース】 ◆Log4j 2.17.1 out now, fixes new remote code execution bug (BleepingComputer, 2021/12/28 15:12) https://www.bleepingcomputer.com/news/security/log4j-2171-out-now-fixes-new-remote-code-execution-bug/
【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ …
【ニュース】 ◆懸念される第二段階 最悪の脆弱性「Log4Shell」 (クラウドWatch, 2021/12/20 11:44) https://cloud.watch.impress.co.jp/docs/column/infostand/1375477.html
【ニュース】 ◆MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート (Security NEXT, 2021/12/20) https://www.security-next.com/132668
【ニュース】 ◆「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる (Wired, 2021/12/18 09:00) https://wired.jp/2021/12/18/log4j-log4shell-vulnerability-ransomware-second-wave/ 【関連まとめ記事】◆全体まとめ ◆Log4Shell…
【図表】 出典: https://www.bleepingcomputer.com/news/security/upgraded-to-log4j-216-surprise-theres-a-217-fixing-dos/【ニュース】 ◆Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS (BleepingComputer, 2021/12/18 05:29) [log4j 2.16…
【ニュース】 ◆「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ (Security NEXT, 2021/12/17) https://www.security-next.com/132615
【ニュース】 ◆Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (JPCERT/CC, 2021/12/15) https://www.jpcert.or.jp/at/2021/at210050.html ⇒ https://vul.hatenadiary.com/entry/2021/12/15/000000_3 ◆「Log4jShell」の当初緩和…
【ブログ】 ◆Apache Log4j Vulnerability (Google Security Blog, 2021/12/17) https://security.googleblog.com/2021/12/apache-log4j-vulnerability.html
【ニュース】 ◆JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能 (Gigazine, 2021/12/16 11:10) https://gigazine.net/news/20211216-log4j-log4shell-cve-2021-45046/
【概要】 https://github.com/NCSC-NL/log4shell/tree/main/software 【ニュース】 ◆オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に (窓の杜, 2021/12/16 15:29) https://forest.watch.impress.co.jp/docs/serial/…
【要点】 ◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める 【概要】■否定された緩和策 否定された緩和策 × 「log4j2.formatMsgNoLookups」の設定 × 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする × 「%m{nolookups}」「%msg{nolook…
【概要】 2021/12/11 から iCloud の脆弱性は排除されたもよう Log4jのJNDI(Java Naming and Directory Interface) Lookup 機能では、LDAPサーバーなどのディレクトリサービス上からJavaオブジェクトを検索可能 Log4jのJNDI Lookup 機能では、単にJavaオブ…
【概要】 項目 内容 CVE番号 CVE-2021-44228 脆弱性の種別 任意のコード実行が可能 PoC 存在 攻撃 発生 ■回避策 バージョン 回避策 2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定環境変数「L…
【ニュース】 ◆Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に (ITmedia, 2021/12/14 12:08) https://www.itmedia.co.jp/news/articles/2112/14/news098.html
【概要】 バージョン 備考 2.15.0 Lookup」やログメッセージの解決機能を削除。JNDIのアクセス方法を見直し 2.15.0-rc1 対策をバイパスすることが可能 2.15.0-rc2 rc1 の課題解決版 2.16.0 Lookup機能を完全に削除。また「JNDI」の機能をデフォルトで無効化 …
【ニュース】 ◆Log4j: List of vulnerable products and vendor advisories (BleepingComputer, 2021/12/14) [Log4j: 脆弱性のある製品およびベンダーアドバイザリのリスト] https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-produ…
【公開情報】 ◆Apache Log4jの脆弱性(CVE-2021-44228)について (NEC, 2021/12/14) https://www.support.nec.co.jp/View.aspx?id=3010103719
【ニュース】 ◆「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性 (Security NEXT, 2021/12/13) https://www.security-next.com/132387 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entry/Log4j
【ニュース】 ◆Javaの「Log4j」ライブラリーに深刻な脆弱性、第三者が任意のコードを実行可能 (日経XTECH, 2021/12/13) https://xtech.nikkei.com/atcl/nxt/news/18/11854/ 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entr…
【ニュース】 ◆「Apache Log4j」の脆弱性、VMwareの36製品に影響 (Security NEXT, 2021/12/13) https://www.security-next.com/132381 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entry/Log4j
【ニュース】 ◆iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる (TechCrunch, 2021/12/13) https://jp.techcrunch.com/2021/12/13/2021-12-10-apple-icloud-twitter-and-minecraft-vuln…
【概要】■Apache Log4j バージョン 1 バージョン 1 にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けない ■脆弱な機能 JNDI lookup機能 ログとして記録された文字列を加工してランタイムに出力する役割を…