TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

脆弱性: CVE-2021-44228

全世界で悪用される脆弱性トップ15は? 各国当局が共同アラートを公開

【概要】 CVE番号 内容 CVE-2021-44228 「Apache Log4j」におけるリモートコード実行の脆弱性。通称、Log4Shell CVE-2021-40539 「Zoho ManageEngine AD SelfService Plus」におけるリモートコード実行の脆弱性 CVE-2021-34523 「Microsoft Exchange Server…

Log4j [脆弱性] (まとめ)

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ …

「Log4jShell」の当初緩和策を否定 - 最新版への更新を

【要点】 ◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める 【概要】■否定された緩和策 否定された緩和策 × 「log4j2.formatMsgNoLookups」の設定 × 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする × 「%m{nolookups}」「%msg{nolook…

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

【概要】 項目 内容 CVE番号 CVE-2021-44228 脆弱性の種別 任意のコード実行が可能 PoC 存在 攻撃 発生 ■回避策 バージョン 回避策 2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定環境変数「L…

GA版「Apache Log4j 2.16.0」がリリース - 脆弱性の原因機能を削除

【概要】 バージョン 備考 2.15.0 Lookup」やログメッセージの解決機能を削除。JNDIのアクセス方法を見直し 2.15.0-rc1 対策をバイパスすることが可能 2.15.0-rc2 rc1 の課題解決版 2.16.0 Lookup機能を完全に削除。また「JNDI」の機能をデフォルトで無効化 …

Apache Log4jの脆弱性(CVE-2021-44228)について

【公開情報】 ◆Apache Log4jの脆弱性(CVE-2021-44228)について (NEC, 2021/12/14) https://www.support.nec.co.jp/View.aspx?id=3010103719

「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性

【ニュース】 ◆「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性 (Security NEXT, 2021/12/13) https://www.security-next.com/132387 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entry/Log4j

Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

【ニュース】 ◆Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始 (ZDNet, 2021/12/12 11:07) https://japan.zdnet.com/article/35180746/ 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entry/Log4j

CVE-2021-44228 – Log4j 2 Vulnerability Analysis

【図表】 出典: https://www.randori.com/blog/cve-2021-44228/ 【ブログ】 ◆CVE-2021-44228 – Log4j 2 Vulnerability Analysis (Randori, 2021/12/12 14:23) https://www.randori.com/blog/cve-2021-44228/ 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) …

New zero-day exploit for Log4j Java library is an enterprise nightmare

【ニュース】 ◆New zero-day exploit for Log4j Java library is an enterprise nightmare (BleepingComputer, 2021/12/10) [Javaライブラリ「Log4j」の新たなゼロデイ・エクスプロイトが企業にもたらす悪夢] https://www.bleepingcomputer.com/news/securit…

Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package

【ブログ】 ◆Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package (LunaSec, 2021/12/09) https://www.lunasec.io/docs/blog/log4j-zero-day/ 【関連まとめ記事】◆全体まとめ ◆Log4j (まとめ) https://vul.hatenadiary.com/entr…

CVE-2021-44228

【図表】 出典: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228【公開情報】 ◆CVE-2021-44228 (Mitre, 2021/11/26) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022