Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能
2021年12月15日
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。
中略)
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
Javaのログ出力ライブラリー「Apache Log4j」に存在する深刻な脆弱性が見つかった問題で開発元のApache Software Foundationは12月14日、さらなる修正を加えたApache Log4j 2.16.0をリリースした。
URL
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 – jpcert.or.jp
Posted by 管理人
関連記事
Tomcat の脆弱性に対するアップデートが公開される
影響を受けるバージョン Apache Tomcat 9.0.0.M1 から 9. ...
Javaに認証なしで不正操作できる脆弱性
情報処理推進機構(IPA)は4月20日、プログラミング言語「Java」の基本的な ...
【Java】ダウンロードプロセスに脆弱性
Java をインストールするプロセスに脆弱性が発見される。 米 Oracle が ...
Apache Struts2に脆弱性が存在
Apache Struts2 に以下の脆弱性が存在。 ・任意のコードが実行可能と ...