Apacheソフトウェア財団は米国時間12月9日、ログ出力ライブラリ「Apache Log4j」に深刻な脆弱性があることを公表するとともに、修正したバージョン「2.15.0」を公開しました。なお12月14日現在、「2.16.0」が最新版となっています。
「Apache Log4j」は、Javaプログラム用のログ記録ライブラリとして、さまざまなソフトや環境で利用されています。そのため、今回発覚した脆弱性「CVE-2021-44228」(通称Log4Shell)を悪用された場合、特定の文字列をログに記録するよう仕向けることで、任意のコードを実行できる可能性があります。 このライブラリは非常に影響範囲が大きく“過去最悪の脆弱性”になる可能性があります。すでにAmazon、Cloudflare、Google、MicrosoftといったIT大手企業が、対応について発表を行っています。なお、独立行政法人情報処理推進機構(IPA)は、12月14日時点で国内でも攻撃が観測されたことを発表しています。 実態は、「Java Naming and Directory Interface」(JNDI)インジェクションの脆弱性で、影響を受けるとみられるライブラリのバージョンは、2.0-beta 9~2.14.1、2.15.0-rc1(出荷候補版)です。 開発者やIT担当者は、自組織のシステムがLog4jを使用しているか把握し、パッチの適用や暫定的な回避策の実施などを早急に検討することを推奨します。一般ユーザができることは現状ほぼありませんが、最新情報に注意を払ってください。なお、トレンドマイクロはエンタープライズ製品において、脆弱性を悪用した攻撃をブロックする仮想パッチ(IPS)のルールを提供しています。Copyright © 2023 Trend Micro Incorporated. All rights reserved.