TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > ライブラリ: Apache Log4j > Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

ライブラリ: Apache Log4j 脆弱性: Log4Shell 脆弱性: CVE-2021-44228 脆弱性: CVE-2021-45046

【概要】

項目 内容
CVE番号 CVE-2021-44228
脆弱性の種別 任意のコード実行が可能
PoC 存在
攻撃 発生


■回避策

バージョン
回避策
2.10より前 Java仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定
環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定
JndiLookup.classをクラスパスから削除
2.10及びそれ以降 JndiLookupクラスをクラスパスから削除


■バージョン1 の脆弱性

  • 遠隔からの脆弱性を悪用した攻撃の影響は受けません
  • 攻撃を行うためには何らかの方法で事前にシステムに不正にアクセスする必要がある


【公開情報】

◆Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 (JPCERT/CC, 2021/12/15)
https://www.jpcert.or.jp/at/2021/at210050.html

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022