Apache Foundation は、この月で 4 回目の Log4j アップデートを公開し、さらに多くの潜在的なセキュリティ脆弱性を修正します。
今月上旬、 人気のある Java ベースのログ パッケージ「Log4j」で発見されたセキュリティ脆弱性 無数の企業やテクノロジー製品にとって大きな問題となった。 Minecraft、Steam、Apple iCloud、その他のアプリケーションやサービスは、パッチを適用したバージョンでの更新を急ぐ必要がありましたが、Log4j の問題はまだ完全には修正されていません。 現在、別の潜在的なセキュリティ問題を修正することを目的とした、さらに別のアップデートが公開されています。
Apache Software Foundation がリリースされました Log4j のバージョン 2.17.1 月曜日に (経由 ピーピーコンピュータ)、主に次のようなセキュリティ上の欠陥に対処します。 CVE-2021-44832. この脆弱性により、攻撃者が Log4j ログ構成ファイルを制御できる場合、JDBC Appender を使用したリモート コード実行 (RCE) が可能になる可能性があります。 この問題には、すべての原因となった脆弱性よりも低い、「中」の深刻度評価が与えられています。 CVE-2021-44228、「緊急」と評価されています。 Checkmarx のセキュリティ研究者、Yaniv Nizry 脆弱性を発見した功績を主張した そしてそれを Apache Software Foundation に報告します。
Apache は脆弱性の説明に次のように書いています。 「Apache Log4j2 バージョン 2.0-beta7 ~ 2.17.0 (セキュリティ修正リリース 2.3.2 および 2.12.4 を除く) は、リモート コード実行 (RCE) 攻撃に対して脆弱です。 ロギング構成ファイルを変更する権限があると、リモート実行可能な JNDI URI を参照するデータ ソースを持つ JDBC アペンダーを使用して悪意のある構成を構築する可能性があります。 コード。 この問題は、Log4j2 バージョン 2.17.1、2.12.4、および 2.3.2 で JNDI データ ソース名を Java プロトコルに制限することで修正されました。
「Log4Shell」としても知られる元の Log4j エクスプロイトは、データ ログに Log4j を使用する多くのサーバーまたはアプリケーション上で悪意のあるコードの実行を可能にしました。 Cloudflareの最高経営責任者(CEO)Matthew Prince氏は、このエクスプロイトが使用されていたと述べた。 早ければ12月1日まで、それが公的に特定される1週間以上前、そして によると ワシントン・ポスト, Google は 500 人を超えるエンジニアに、自社のコードを徹底的に分析して、脆弱な部分がないことを確認するよう命じました。 攻撃者は Log4j に属する構成ファイルを変更できる必要があるため、この脆弱性はそれほど深刻ではありません。 もし彼らがそれを行うことができたとしても、いずれにせよ、より大きな問題を抱えている可能性があります。
この最新リリースは、多くの企業がすでに独自に修正している、元のエクスプロイトに対する最後の恒久的な修正となる予定です。 ただし、最初のアップデート以降、後に発見された抜け穴を埋めるための他のアップデートも数多く行われてきました。 運が良ければ、これで Log4Shell の物語は終わりとなるはずです。