更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
ここ数日世間を賑わせているApache Log4jの問題について、
かなり情報が出揃ってきました。
詳しい事象については上記リンク先での説明に任せることにして、
今回の問題は、JAVAで動作しているシステムでLog4jライブラリに特定の文字列を渡すと任意のコードをリモート実行できる、
という非常に危険なものになるため、騒ぎになりました。
皆さんは、リモート実行の攻撃と言われるとどのようなものを想像されるでしょうか?
ログイン画面のような画面でユーザーIDなどを盗み見るようなものでしょうか?それともアカウントを乗っ取るような仕掛け?
今回の問題は、そのような専門知識がない相手からも被害を受ける可能性がある危険なものです。
ログの出力は、どのようなシステムでも日常的に行われるものになります。
例えば、Webから受け取ったリクエストをとりあえずログ出力して記録しておく…
この程度の実装でも、リモート実行される危険があるのです。
しかも、ログイン画面のユーザーID、パスワードのような入力欄に限らず、
ホスト名やURI、ユーザーエージェントなどのHTTPヘッダーなどをログ出力した場合でも引っかかってしまう可能性があります。
実際、そのような攻撃が検出されている、という報告もあります。
この方法は、特別な仕組みなく簡単にリクエストとして送ることが可能なため、
大量に試行されているのかもしれません。
Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測
幸い、既に修正版のライブラリが公開されていますので、対策されていないシステムではすぐに適用するようにしましょう。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
ここ数日世間を賑わせているApache Log4jの問題について、
かなり情報が出揃ってきました。
詳しい事象については上記リンク先での説明に任せることにして、
今回の問題は、JAVAで動作しているシステムでLog4jライブラリに特定の文字列を渡すと任意のコードをリモート実行できる、
という非常に危険なものになるため、騒ぎになりました。
皆さんは、リモート実行の攻撃と言われるとどのようなものを想像されるでしょうか?
ログイン画面のような画面でユーザーIDなどを盗み見るようなものでしょうか?それともアカウントを乗っ取るような仕掛け?
今回の問題は、そのような専門知識がない相手からも被害を受ける可能性がある危険なものです。
ログの出力は、どのようなシステムでも日常的に行われるものになります。
例えば、Webから受け取ったリクエストをとりあえずログ出力して記録しておく…
この程度の実装でも、リモート実行される危険があるのです。
しかも、ログイン画面のユーザーID、パスワードのような入力欄に限らず、
ホスト名やURI、ユーザーエージェントなどのHTTPヘッダーなどをログ出力した場合でも引っかかってしまう可能性があります。
実際、そのような攻撃が検出されている、という報告もあります。
この方法は、特別な仕組みなく簡単にリクエストとして送ることが可能なため、
大量に試行されているのかもしれません。
Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測
幸い、既に修正版のライブラリが公開されていますので、対策されていないシステムではすぐに適用するようにしましょう。
お問い合わせ - お気軽にお問い合わせください -
株式会社 パブリックリレーションズ 〒064-0807 北海道札幌市中央区南7条西1丁目13番地 弘安ビル5階 011-520-1800 011-520-1802
メールでのお問い合わせはこちら