Apache Software Foundation、通称ASFが、Javaのログ出力ライブラリーApache Log4jの最新バージョンとなるApache Log4j 2.17.0をリリースしました。
バージョン2.0-alpha1から2.14.16までにサービス妨害、いわゆるDoS攻撃を発生させる恐れのある脆弱性が見つかり最新版で修正したそうです。
ASFよると、バージョン2.0-alpha1~2.14.16では、自己参照Lookupでの制御されない再起が保護されていません。
そのため、ロギング構成のコンテキストルックアップで、$$ {ctx:loginId}などデフォルト以外のパターンレイアウトを使用していると、攻撃者がスレッドコンテキストマップ、MDCで、再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうそうです。
脆弱性の影響を受けるのは、log4j-coreJARファイルを使用している場合だけだそうです。
log4j-apiJARファイルのみを使用するアプリケーションや、Log4j以外のLog4netやLog4cxxなどApacheのロギング関連のプロジェクトには影響しないそうです。
共通脆弱性評価システム、CVSSによる基本値での評価は7.5となっているそうです。
また、脆弱性の影響を回避する方法としては、ロギング構成のPatternLayoutで$ {ctx:loginId}や$$ {ctx:loginId}などのコンテキストルックアップをMDCのパターン、%Xや%mdcまたは%MDCに置き換えるか、$ {ctx:loginId}や$$ {ctx:loginId}などのコンテキストルックアップへの参照を削除することが紹介されています。
今回見つかった脆弱性は、アカマイ・テクノロジーズの岡本英輝氏、トレンドマイクロリサーチのGuy Lederfein氏、匿名の人物がそれぞれに発見しました。
トレンドマイクロのZero Day Initiativeは、バージョン2.0-beta9~2.14.1で報告されたリモートコード実行の脆弱性、通称Log4Shellと同様にLookupに起因するものの、Log4Shellとは異なるものだと解説しています。
Twitterでの新たなApache Log4jの脆弱性への反応
おはようございます☀
モーサテにlog4j が出てきてる事に驚いた。
Javaというキーワードは出てないけど報道大丈夫か?w
さてクリスマス前1週間、
GDスタートとなりそう。
慌てず落ち着いてトレードします
今週も楽しみましょう☆
— SON 大きなトレンドの中に小さなトレンド(@kotsutre777)Sun Dec 19 23:41:12 +0000 2021
log4j、アプデする度に脆弱性が見つかるのはまだしも、頻繁にリリースできることに体力を感じる
— task(@getupmax)Sun Dec 19 23:41:59 +0000 2021
log4jのせいで出社が続く
やはり冬の午前出社は辛いな。。
— ミョー・マタムネ(@toSZf4J5BEgzp6n)Sun Dec 19 23:47:20 +0000 2021
log4jがひたすらバージョン上がっていく。
無限bump編に突入か😇
(不謹慎ながら、思いついたので吐き出してしまった)
— すすはむ(@_susuham)Sun Dec 19 23:50:08 +0000 2021
旅行先でlog4jの対策済ませてきました。
— コマリョウ5033《疲れた社畜》 🎮🎹📹️🎬️🎤💻⌘(たまに浮上)(@Komaryou_5033)Sun Dec 19 23:53:04 +0000 2021
log4jの脆弱性対応で今月3回目のバージョンアップがあったよう。まだの方は対応しましょう! #ohayo_engineer
— まぁし@TAM | Karachoco Code(@chocodogmagic)Mon Dec 20 00:12:53 +0000 2021
「log4j 1.x 使ってるの論外だよ」と何度伝えてもフルシカトするSE
— MMMM.MADAO(@MADAO_315)Mon Dec 20 00:17:12 +0000 2021
@12viaggiatore04 今朝の日経で国策テーマ関連で仕手もはいっていると思われます。
最近のlog4jの脆弱性絡みもあります!!
といいつつ私は入れていません(笑)
— 2.5流投資家🔰(@endrefunk)Mon Dec 20 00:27:35 +0000 2021
@haruyan_toushi Log4j でバタバタしとる
— とろろ☀(@tororororo7)Mon Dec 20 00:28:29 +0000 2021
log4j 1系も脆弱性見つかったのか。
2系じゃないから問題ありません!は通用しなくなってしまった。
どのプロダクトもサポートは問合せの嵐だろうな…
なお、EMCC13系も対象の模様…
CISAが「クリスマスイブまでに対策を」って言ってたが今週末じゃん…
— けんぼー(@kemb0000)Mon Dec 20 00:38:39 +0000 2021
みんなで「apache log4jがヤバい!」ってなってて、自分も「apache log4jがヤバいらしいですね!」って話をするけど
当方その辺がまったく理解が追いついてない(勉強しろ)なので、完全にズンドコベロンチョ状態である
apache log4jって結局なんなの〜
— むーさん@鷹く!2021シーズンお疲れさまでした(@Nao_Nao1293)Mon Dec 20 00:38:45 +0000 2021
log4j、大変そう(こなみ
— 群生系パセリ(@GunseiKPaseri)Mon Dec 20 00:45:01 +0000 2021
log4j 2.14.1に脆弱性があったから log4j 2.15.0を出したよ!
log4j 2.15.0にも脆弱性あったからlog4j 2.16.0を出したよ!
log4j 2.16.0にも脆弱性あったからlog4j 2.17.0を出したよ!←いまここ
— うぃじうぃっぐ(@WYS_)Mon Dec 20 00:48:10 +0000 2021
@endrefunk 視野が広いっす!
セキュアは既に売ってしまいました笑
— 旅人さん@旅団№4買い豚(@12viaggiatore04)Mon Dec 20 00:50:16 +0000 2021
あーヤベェ。また急に寒くなったせいでテンションだだ下がりである。log4j からこっち、どうでもいいことばかり気になって思考が定まらねーや。
— 渡井 康行(@ywatai)Mon Dec 20 01:13:29 +0000 2021
Log4jでお忙しいところ誠に申し訳ありません。
— Crispy!(@crispy2d)Mon Dec 20 01:21:30 +0000 2021
log4j でブツブツと言いたいことは分からんでもないが、組み込みを変更するたびに時間がかかるメンテナンス性という品質の低さはどうかと思うんだよね
ちゃんと自分たちの足元をみよう
— bakachou(@bakachou1973)Mon Dec 20 01:21:41 +0000 2021
Amazon、今月に入って欲しい物リストに追加が出来なくなってますが、とうとうギフト券チャージも出来なくなりました。
SNS にも同士がチラホラ散見。
Log4j の影響じゃないでしょうね…。
それともブラウザのアドオンとかの影響でしょうか…。
— 安曇野レイ(@Web_akira)Mon Dec 20 01:25:15 +0000 2021
minecraft serverのPaperMC(paper), つい先(9時前後)Legacy buildsのうちLog4j 2.15.0対応で止まっていた1.8.8 - 1.15.2(サポート外)に対してもLog4j 2.17.0への更新ビルドが公開されたので必ず更新を行うこと。
一つ前のビルドで一部Javaバージョンで起動しない問題も解消しているはず
— マッシュルーム(@mushroom080)Mon Dec 20 01:26:05 +0000 2021
今週、出勤Weekなので出勤してシステム部に
社内、Log4j関係大丈夫?って振ったらなんですか?
と返ってきたので、なんか流行っているらしいよで終わらせたけど
大丈夫か?(-_-;)
社内ハッキング開催でいいのか?
— zinviex 🌸ᕱ⑅ᕱ🌸(@zinviex)Mon Dec 20 01:28:51 +0000 2021
アプリからならチャージ OK。
ウェブが使えないの、不便。
Amazon 帝国の終わり…?
— 安曇野レイ(@Web_akira)Mon Dec 20 01:29:58 +0000 2021
log4j何お祭り騒ぎになってる件。
あと年末になるといつもこーいうのくる気がするんだよなー。
— たろたろ(@game_tarotaro)Mon Dec 20 01:30:37 +0000 2021
log4j 第三の脆弱性! バイツァダスト!
— シャチクマンブレード(@pocaRingoRA)Mon Dec 20 01:31:38 +0000 2021
@game_tarotaro どこも同じなんですね、ほんま勘弁してほしい…
— おしゃかさん(@2gSCV4vQAZOJ29i)Mon Dec 20 01:34:07 +0000 2021
Log4j, 今後はDoSですか...
— Haru.(@utsushiiro)Mon Dec 20 01:34:50 +0000 2021
Log4j 2.16.0にもDoS脆弱性が見つかっております。CVE-2021-45105
2.17.0へのアップグレード及びSpringなどLog4jを使用しているライブラリを使用している場合は設定変更を。
— つるお(@tsuruo5388)Mon Dec 20 01:39:49 +0000 2021
実質後継の Logback の 1.0 が 10 年前で、より抽象化された SLF4J API と移行ツールもある状況で、Log4j 1.x のメンテナンスを再開しろなんて言われたら中の人としては心外だろうな。
— Takuma SHIRAISHI(@ts7i)Mon Dec 20 01:40:14 +0000 2021
@laneco_blupro あまりにも仕事投げすぎて、顧客問い合わせのlog4jをApache2と勘違いしてたよこの前なんて
— 過労クソパンダ(@4649masayoshi)Mon Dec 20 01:40:45 +0000 2021
今朝のモーニングサテライトでlog4jの話してるやん
— Keck(@Keck_init)Mon Dec 20 01:42:53 +0000 2021
例の「Log4j」の脆弱性問題。弊社・本社のシステム担当者にメールで知らせた。多分読まないだろうが、注意喚起するのは俺の役目だと思っているので。
— セマネの掃除屋(@BhM4GaVtj03xzwB)Mon Dec 20 01:49:03 +0000 2021
Minecraft server PaperMC(paper)
今回公開のLog4j 2.17.0更新が適用されたビルドは以下なので手元のビルドナンバーを確認
1.15.2 (#393)
1.14.4 (#245)
1.13.2 (#657)
1.12.2 (#1620)
1.11.2 (#1106)
1.10.2 (#918)
1.9.4 (#775)
1.8.8 (#445)
— マッシュルーム(@mushroom080)Mon Dec 20 01:49:13 +0000 2021
Minecraft server PaperMC(paper)
今回公開のLog4j 2.17.0更新が適用されたビルドは以下なので手元のビルドナンバーを確認
1.15.2 (#393)
1.14.4 (#245)
1.13.2 (#657)
1.12.2 (#1620)
1.11.2 (#1106)
1.10.2 (#918)
1.9.4 (#775)
1.8.8 (#445)
— マッシュルーム(@mushroom080)Mon Dec 20 01:49:13 +0000 2021
(Download APIで取れる1.8.8のbuildに紐付いたcommitが見当たらない。もしかしたら動かないかも?)
(なんでせっかくPaperMC/Paperにマージした後でビルドしてるっぽいのに参照Repoを本流に戻さなかったの…?)
— マッシュルーム(@mushroom080)Mon Dec 20 01:52:44 +0000 2021
Log4j脆弱性、VMWareも影響を受けるのか。
気づくの遅れた…。
— 滝澤真実 / Masami Takizawa(@MasamiTakizawa)Mon Dec 20 01:54:38 +0000 2021
お疲れ様です!
12月20日 #今日の積み上げ
・ビジネス数学検定の勉強
・本業訪問&忘年会
本業でWebの「Apache Log4j」について確認の指示があり。
つい内容を見ずに確認依頼だけ流そうとしてしまい上司から指摘が・・・😂
勉強したいと思っているのにこういうところがほんとだめです、、反省😳‼️
— ナナエ@Web制作*codolife(@nne71266398)Mon Dec 20 01:55:46 +0000 2021
Log4j の脆弱性、やっぱりマイクラも食らってたのか
— Phoenix(@Phoenix74205)Mon Dec 20 02:00:55 +0000 2021
log4jまたかよもう無理
— くりす(@1XAI786R5ICdRp7)Mon Dec 20 02:03:50 +0000 2021