TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > ライブラリ: Apache Log4j > 世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

ライブラリ: Apache Log4j 脆弱性: Log4Shell

【概要】

■Apache Log4j バージョン 1

  • バージョン 1 にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けない


■脆弱な機能

  • JNDI lookup機能
  • ログとして記録された文字列を加工してランタイムに出力する役割を持つ


■悪用方法

  • 攻撃対象のサービスやアプリに対し、細工を施した文字列を遠隔地から送信するだけで、指定の場所からプログラムをダウンロードして実行させることが可能


【ニュース】

◆世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説 (ITmedia, 2021/12/13 16:40)
https://www.itmedia.co.jp/news/articles/2112/13/news139.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022