【要点】
◎ 従来公表していた「緩和策」を否定。最新版へのアップデートを求める
【概要】
■否定された緩和策
| 否定された緩和策 | |
|---|---|
| × | 「log4j2.formatMsgNoLookups」の設定 |
| × | 「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」とする |
| × | 「%m{nolookups}」「%msg{nolookups}」「%message{nolookups}」を用いたメッセージの「Lookup」機能を無効化する方法 |
■有効な対策
| 有効な対策 | |
|---|---|
| 〇 | 最新版へのアップデート |
| 〇 | クラス「JndiLookup」の削除 |
【ニュース】
◆「Log4jShell」の当初緩和策を否定 - 最新版への更新を (Security NEXT, 2021/12/15)
https://www.security-next.com/132515
