ニュース
JPCERT/CC、「Apache Log4j」の複数の脆弱性についてまとめたページを公開
IPAやJVNでも情報を更新中
2021年12月28日 16:40
多くのアプリやウェブサービスで利用されているJavaライブラリ「Apache Log4j」で明らかになった複数の脆弱性の状況をまとめたページをJPCERT/CCが公開した。独立行政法人情報処理推進機構(IPA)やJapan Vulnerability Notes(JVN)でも最新情報が随時更新されており、注意を呼び掛けている。
本件は日本においては12月10日ごろより話題になっているが、修正されたバージョンに新たな脆弱性が発見されるなどして、CVEベースで3つの脆弱性(CVE-2021-44228、CVE-2021-45046、CVE-2021-45105)が明らかになっており、それぞれ対応が行われている。
「Apache Log4j」とは?
ウェブサーバーソフトウェア「Apache」などで知られる米Apacheソフトウェア財団(The Apache Software Foundation:以降「Apache」)が開発・提供しているJava用のログ出力ライブラリが「Log4j」だ。さまざまなアプリやウェブサービス、業務システムなどに組み込まれていることから、脆弱性を悪用された場合には、一般ユーザーが使っているサービスなど、広範囲に影響が出る恐れがある。
脆弱性の概要
以下では、12月28日時点で情報が公開されている3つの脆弱性について、時系列順に概要を解説する。
CVE-2021-44228:Log4j 2.15.0よりも前の2系のバージョンで任意のコードが実行可能な脆弱性(Log4Shell)
最初に明らかになった脆弱性で、「Log4Shell」との通称でも呼ばれる。CVSS v3のスコアは10.0で、深刻度はCritical。
影響を受けるのはApache Log4j 2.15.0よりも前のバージョンで、Apache Log4j 2.15.0 の出荷候補版であるApache Log4j 2.15.0-rc1も含む。
当該のバージョンが持つ、ログに記載された文字列から一部の値を変数として評価する「Lookup」機能のうち、「JNDI Lookup」機能が攻撃者に悪用されると、任意のコマンドが実行可能になってしまう。Log4j 1系はLookup機能を持たないため、この脆弱性の影響はないとされる。
Apacheは12月6日(米国時間)、この脆弱性を対策したApache Log4j 2.15.0を公開した。
CVE-2021-45046:Log4j-core 2.15.0で任意のコードが実行可能な脆弱性
Apache Log4j 2.15.0におけるCVE-2021-44228に対する修正が不完全であったため、攻撃者が悪用することで、特定の構成において任意のコードが実行となってしまう。CVSS v3のスコアは9.0で、深刻度はCritical。
Apacheは12月13日(米国時間)、この脆弱性を修正したApache Log4j 2.16.0を公開した。このバージョンではMessage Lookup機能が削除され、JNDIへのアクセスがデフォルトで無効化されている。
CVE-2021-45105:Apache Log4j-core 2.17.0より前の2系のバージョンでDoS攻撃が可能な脆弱性
Apache Log4j-core 2.17.0より前の2系のバージョンにおいて、自己参照による制御不能な再帰から保護されていないことに起因する、DoS攻撃(トラフィック増大によるサービス停止に陥らせる攻撃)が可能になる脆弱性が確認された。CVSS v3のスコアは7.5で、深刻度はHigh。
Apacheでは12月17日(米国時間)、この脆弱性を修正したApache Log4j 2.17.0を公開した。
Log4jの最新版
Java 8、7、6用に以下のバージョンが最新版として公開されており。アップデートが呼び掛けられている。
- Apache Log4j 2.17.0(Java 8用)
- Apache Log4j 2.12.3(Java 7用)
- Apache Log4j 2.3.1(Java 6用)
IPA、JPCERT/CC、JVNによる情報公開
独立行政法人情報処理推進機構(IPA)や一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)、およびJVN(Japan Vulnerability Notes)では、本件に関する情報を公開している。本件の状況は最初の情報公開時から変化しているため、各ウェブサイトでは更新情報にに注意して参照したい。
- Apache Log4j の脆弱性対策について(IPA)
- Apache Log4jの任意のコード実行の脆弱性(JPCERT/CC)
- Apache Log4jにおける任意のコードが実行可能な脆弱性(JVN)
JVNのウェブサイトでは、一部のサービスベンダーおける本脆弱性の影響と対応の情報も公開されている。
警察庁による情報公開
警察庁でも12月14日に情報を公開。警察施設のインターネット接続点に設置したセンサーで観測したApache Log4jの脆弱性に対する攻撃の状況をグラフ化し、注意を促している。
また、次の対策を呼び掛けている。
- Javaで開発されたプログラムを利用している場合は、Apache Log4jの利用の有無およびプログラムのアップデート情報を公式サイトで確認する
- 脆弱性の影響を受けるバージョンを利用している場合は、公開されている情報を確認し、すみやかに対策を適用する
- ウェブアプリケーションファイアウォールなどのシグネチャによる検知や防御の回避を試みている通信が確認されているため、シグネチャ以外による対策も行う