TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > ライブラリ: Apache Log4j > 「Apache Log4j」にあらたな脆弱性 - アップデートがリリース

「Apache Log4j」にあらたな脆弱性 - アップデートがリリース

ライブラリ: Apache Log4j 脆弱性: CVE-2021-44832

【概要】

■脆弱性の内容

  • JDBCAppenderを用いて悪意ある設定が可能
  • 攻撃者がログ設定ファイルを変更する権限を持っている場合に攻撃可能


■脆弱性が発動する条件

  • log4j-coreのJARファイルのみに存在
    • log4j-api」のJARファイルのみを使用するアプリケーションについては脆弱性の影響を受けない


■ CVSS v3

  • 6.6


■対応バージョン

Java Apache Log4j
Java 8 2.17.1
Java 7 2.12.4
Java 6 2.3.2


【ニュース】

◆「Apache Log4j」にあらたな脆弱性 - アップデートがリリース (Security NEXT, 2021/01/05)
https://www.security-next.com/132992

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022