TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

脆弱性: Log4Shell

Log4Shell 4 Months Later: Are You Still Vulnerable?

【図表】 出典: https://www.rezilion.com/wp-content/uploads/2022/04/Log4Shell-4-Months-Later.pdf 【資料】 ◆Log4Shell 4 Months Later: Are You Still Vulnerable? (Rezilion, 2022/04/27) https://www.rezilion.com/wp-content/uploads/2022/04/Log4Sh…

最悪の脆弱性「Log4Shell」、依然として数百万のJavaアプリに存在

【ニュース】 ◆最悪の脆弱性「Log4Shell」、依然として数百万のJavaアプリに存在 (マイナビニュース, 2022/04/28 12:17) https://news.mynavi.jp/techplus/article/20220428-2332533/

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

【ニュース】 ◆米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 (TechCrunch, 2022/01/06) https://jp.techcrunch.com/2022/01/06/2022-01-05-ftc-legal-action-log4j/

Log4j [脆弱性] (まとめ)

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ …

懸念される第二段階 最悪の脆弱性「Log4Shell」

【ニュース】 ◆懸念される第二段階 最悪の脆弱性「Log4Shell」 (クラウドWatch, 2021/12/20 11:44) https://cloud.watch.impress.co.jp/docs/column/infostand/1375477.html

MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート

【ニュース】 ◆MS、「Apache Log4j」でセキュリティアドバイザリ - 8製品にアップデート (Security NEXT, 2021/12/20) https://www.security-next.com/132668

「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる

【ニュース】 ◆「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる (Wired, 2021/12/18 09:00) https://wired.jp/2021/12/18/log4j-log4shell-vulnerability-ransomware-second-wave/ 【関連まとめ記事】◆全体まとめ ◆Log4Shell…

Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS

【図表】 出典: https://www.bleepingcomputer.com/news/security/upgraded-to-log4j-216-surprise-theres-a-217-fixing-dos/【ニュース】 ◆Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS (BleepingComputer, 2021/12/18 05:29) [log4j 2.16…

「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ

【ニュース】 ◆「Apache Log4j 2.15.0」にもRCE脆弱性 - 評価を「Critical」に引き上げ (Security NEXT, 2021/12/17) https://www.security-next.com/132615

CVE-2021-45046 (まとめ)

【ニュース】 ◆Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (JPCERT/CC, 2021/12/15) https://www.jpcert.or.jp/at/2021/at210050.html ⇒ https://vul.hatenadiary.com/entry/2021/12/15/000000_3 ◆「Log4jShell」の当初緩和…

Apache Log4j Vulnerability (Google)

【ブログ】 ◆Apache Log4j Vulnerability (Google Security Blog, 2021/12/17) https://security.googleblog.com/2021/12/apache-log4j-vulnerability.html

オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に

【概要】 https://github.com/NCSC-NL/log4shell/tree/main/software 【ニュース】 ◆オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に (窓の杜, 2021/12/16 15:29) https://forest.watch.impress.co.jp/docs/serial/…

「Log4jShell」の当初緩和策を否定 - 最新版への更新を

【要点】 ◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める 【概要】■否定された緩和策 否定された緩和策 × 「log4j2.formatMsgNoLookups」の設定 × 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする × 「%m{nolookups}」「%msg{nolook…

Apple、iCloudのLog4Shell問題を修正~過去10年で最悪の脆弱性

【概要】 2021/12/11 から iCloud の脆弱性は排除されたもよう Log4jのJNDI(Java Naming and Directory Interface) Lookup 機能では、LDAPサーバーなどのディレクトリサービス上からJavaオブジェクトを検索可能 Log4jのJNDI Lookup 機能では、単にJavaオブ…

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

【概要】 項目 内容 CVE番号 CVE-2021-44228 脆弱性の種別 任意のコード実行が可能 PoC 存在 攻撃 発生 ■回避策 バージョン 回避策 2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定環境変数「L…

Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に

【ニュース】 ◆Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に (ITmedia, 2021/12/14 12:08) https://www.itmedia.co.jp/news/articles/2112/14/news098.html

GA版「Apache Log4j 2.16.0」がリリース - 脆弱性の原因機能を削除

【概要】 バージョン 備考 2.15.0 Lookup」やログメッセージの解決機能を削除。JNDIのアクセス方法を見直し 2.15.0-rc1 対策をバイパスすることが可能 2.15.0-rc2 rc1 の課題解決版 2.16.0 Lookup機能を完全に削除。また「JNDI」の機能をデフォルトで無効化 …

Log4j: List of vulnerable products and vendor advisories

【ニュース】 ◆Log4j: List of vulnerable products and vendor advisories (BleepingComputer, 2021/12/14) [Log4j: 脆弱性のある製品およびベンダーアドバイザリのリスト] https://www.bleepingcomputer.com/news/security/log4j-list-of-vulnerable-produ…

Apache Log4jの脆弱性(CVE-2021-44228)について

【公開情報】 ◆Apache Log4jの脆弱性(CVE-2021-44228)について (NEC, 2021/12/14) https://www.support.nec.co.jp/View.aspx?id=3010103719

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

【ニュース】 ◆iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる (TechCrunch, 2021/12/13) https://jp.techcrunch.com/2021/12/13/2021-12-10-apple-icloud-twitter-and-minecraft-vuln…

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

【概要】■Apache Log4j バージョン 1 バージョン 1 にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けない ■脆弱な機能 JNDI lookup機能 ログとして記録された文字列を加工してランタイムに出力する役割を…

New zero-day exploit for Log4j Java library is an enterprise nightmare

【ニュース】 ◆New zero-day exploit for Log4j Java library is an enterprise nightmare (BleepingComputer, 2021/12/10) [Javaライブラリ「Log4j」の新たなゼロデイ・エクスプロイトが企業にもたらす悪夢] https://www.bleepingcomputer.com/news/securit…

Threat Advisory: Critical Apache Log4j vulnerability being exploited in the wild

【ブログ】 ◆Threat Advisory: Critical Apache Log4j vulnerability being exploited in the wild (Talos(CISCO), 2021/12/10) http://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html 【関連まとめ記事】◆全体まとめ ◆Log4Shell …

CVE-2021-44228

【図表】 出典: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228【公開情報】 ◆CVE-2021-44228 (Mitre, 2021/11/26) https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022