Log4j脆弱性解説 和訳

2021年12月初旬に発見されたCVSS10点満点のLog4Shellが持っている脆弱性「Log4j」の解説和訳を下記に記します。

内容は、Apacheページ記載されているものがベースとなっており意訳となっておりますので、正確な情報は本家ページをご覧ください。

Log4j –
logging.apache.org

このページでは、Apache Log4j 2のリリースバージョンで修正されたセキュリティ脆弱性をすべてリストアップしています。

それぞれの脆弱性は、Apache Logging セキュリティチームによって、セキュリティインパクトの評価が与えられています。

この評価は、プラットフォームによって異なるかもしれないことに注意してください。

また、脆弱性が影響することが知られているApache Log4jのバージョンをリストアップし、 脆弱性が検証されていない場合は、クエスチョンマークを付けてバージョンをリストアップしています。

注:Log4jの脆弱性ではありませんが、Log4jに対して間違って報告された脆弱性、またはLog4jが回避策を提供している脆弱性は、このページの最後にリストアップされています。

Log4j 1.x はサポートが終了していることに注意してください。

Log4j 1.xに対して2015年8月以降に報告された脆弱性はチェックされておらず、修正されることはありません。

ユーザーは、Log4j 2にアップグレードして、セキュリティ修正を取得してください。

バイナリパッチは提供されないことにご注意ください。

ソースコードパッチを適用する必要がある場合、使用しているApache Log4jのバージョンのビルド手順を使用してください。

Log4j 2の場合、これはBUILDING.mdです。このファイルは、ソースディストリビューターのルートサブディレクトリで見つけることができます。

Fixed in Log4j 2.17.0 (Java 8)

CVE-2021-45105Denial of Service
SeverityHigh
Base CVSS Score7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Versions AffectedAll versions from 2.0-beta9 to 2.16.0

Apache Log4j2 バージョン 2.0-alpha1 から 2.16.0 は、自己参照による制御不能な再帰から保護されていませんでした。Logging 設定で、デフォルト以外の Pattern Layout with a Context Lookup (例: $${ctx:loginId}) を使用すると、Thread Context Map (MDC) 入力データを制御できる攻撃者は、再帰的検索を含む不正な入力データを作成し、StackOverflowError が発生してプロセスを終了させることができました。これは、DOS (Denial of Service) 攻撃としても知られています。

対応策

Log4j 1.xの 対応策

Log4j 1.xは、本脆弱性の影響を受けません。

Log4j 2.x の対応策

以下のいずれかの緩和策を実施してください。

Java 8 (またはそれ以降) のユーザーは、リリース 2.17.0 にアップグレードする必要があります。

または、設定で緩和することができます。

ロギング設定の PatternLayout で、${ctx:loginId} や $${ctx:loginId} などの Context Lookups を Thread Context Map パターン (%X, %mdc, %MDC) で置き換えます。
そうでない場合は、HTTPヘッダーやユーザー入力など、アプリケーションの外部ソースに由来する${ctx:loginId}や $${ctx:loginId}などのContext Lookupsの参照を設定から削除してください。
log4j-core JAR ファイルのみが本脆弱性の影響を受けることに注意してください。log4j-core JAR ファイルを使用せず、log4j-api JAR ファイルのみを使用するアプリケーションは、この脆弱性の影響を受けません。

また、Apache Log4j は、この脆弱性の影響を受ける唯一の Logging Services サブプロジェクトであることに注意してください。Log4net や Log4cxx のような他のプロジェクトは、この影響を受けません。

クレジット
アカマイ・テクノロジーズの岡本英樹氏、トレンドマイクロのZero Day Initiativeに所属するトレンドマイクロ・リサーチのGuy Lederfein氏、および別の匿名の脆弱性研究者によって独自に発見されました。

参考文献
CVE-2021-45105
LOG4J2-3230

Comments

タイトルとURLをコピーしました