Log4j 2: DoS に関わる新たな脆弱性 (2.16.0 とそれ以前のバージョン)
nabbisen
Posted on December 19, 2021
Log4j 2.17.0 がセキュリティ向け更新のためにリリースされました。2.16.0 とそれ以前の 2 系のバージョンに存在する DoS 脆弱性を修正します。
この新たな DoS (denial-of-service) 脆弱性について、次の場合は安全です: ログ設定で、$${ctx:loginId}
のような Context Lookup 設定が使われていない、デフォルトの Pattern Layout の場合。
そうでない場合は、CVSS スコアが 7.5 であり、深刻度は高いです。
Log4j 2 で、$${ctx:loginId}
のような Context Lookup 設定を持つ、カスタマイズされている Pattern Layout のものに関しては、バージョンを 2.17.0 に更新することが推奨されています。CVE-2021-45105 と呼ばれる本脆弱性を修正するためです。サービスダウンを引き起こされる危険があります。
それが難しい場合は、次の方法で緩和することが可能です。Log4j 2 の非デフォルトの Context Lookup 設定を Thread Context Map パターン (%X, %mdc, or %MDC) に置き換える、あるいは、設定の中でそれらの設定への参照を削除します。
The Apache Software Foundation から情報が提供されています:
https://logging.apache.org/log4j/2.x/security.html
本記事は小社のツイートをもとにしています。
Posted on December 19, 2021
Join Our Newsletter. No Spam, Only the good stuff.
Sign up to receive the latest update from our blog.