TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

「Log4jShell」の当初緩和策を否定 - 最新版への更新を

【要点】

◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める


【概要】

■否定された緩和策

否定された緩和策
× 「log4j2.formatMsgNoLookups」の設定
× 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする
× 「%m{nolookups}」「%msg{nolookups}」「%message{nolookups}」を用いたメッセージの「Lookup」機能を無効化する方法


■有効な対策

有効な対策
最新版へのアップデート
クラス「JndiLookup」の削除


【ニュース】

◆「Log4jShell」の当初緩和策を否定 - 最新版への更新を (Security NEXT, 2021/12/15)
https://www.security-next.com/132515


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022