2021年12月10日ごろより、JavaベースのオープンソースのロギングライブラリのApache Log4jに関して複数の脆弱性が報告されております。JPCERT/CCでも本件について、注意喚起を発行し、適宜更新を行っております。
本記事では、2022年1月5日時点でのApache Log4jに関する脆弱性の状況をまとめています。 注意喚起の内容とあわせて、自組織でのApache Log4jへの対応状況の確認の参考にしていただけると幸いです。
1) 現在公表されている脆弱性
CVE-2021-44228
- 概要
- Apache Log4jのJava Naming and Directory Interface(JNDI)機能に関する任意のコード実行の脆弱性
- 遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで任意のコードを実行する可能性がある
- 影響バージョン
- Apache Log4j-core 2.15.0より前の2系のバージョン
CVE-2021-45046
- 概要
- 2.15.0での修正不十分による、特定条件下で任意のコード実行が可能な脆弱性
- 公開当初はサービス運用妨害の脆弱性と報告されたが、のちにリモートからの任意のコード実行が可能と修正された
- 影響バージョン
- Apache Log4j-core 2.16.0より前の2系のバージョン(2.12.2を除く)
CVE-2021-45105
- 概要
- 自己参照による制御不能な再帰から保護されていないことに起因し、Log4jの特定設定のみ影響を受けるサービス運用妨害攻撃の脆弱性
- 影響バージョン
- Apache Log4j-core 2.17.0より前の2系のバージョン(2.12.3を除く)
CVE-2021-44832
- 概要
- Apache Log4jのJava Naming and Directory Interface(JNDI)機能で特定のデータソースを使用する場合に起因するリモートからの任意のコード実行の脆弱性
- 影響バージョン
- Apache Log4j-core 2.17.1より前の2系のバージョン(2.12.4及び2.3.2を除く)
2) 現在公開されている最新の修正バージョン
- Apache Log4j 2.17.1(Java 8以降のユーザー向け)
- Apache Log4j 2.12.4(Java 7のユーザー向け)
- Apache Log4j 2.3.2(Java 6のユーザー向け)
3) タイムライン(すべて日本時間)
- 2021/11/25
- Alibaba Cloud Security TeamがThe Apache Software Foundation(The ASF)へ脆弱性報告
- 2021/12/10
- JNDI Lookup機能を悪用した任意のコード実行に関する実証(PoC)コードが公開される
- The ASFがCVE-2021-44228に関する情報を公開、修正バージョンLog4j 2.15.0を公開
- 2021/12/11
- CVE-2021-44228を悪用するPoCコードの公開及び国内にて本脆弱性の悪用を試みる通信をJPCERT/CCが確認
- 2021/12/15
- The ASFがLog4j 2.15.0適用後でもDoS攻撃の脆弱性が存在するとしてCVE-2021-45046に関する情報を公開
- Lookup機能を削除・JNDI機能をデフォルトで無効化したLog4j 2.16.0(Java 8以降のユーザー向け)及び2.12.2(Java 7のユーザー向け)を公開
- 2021/12/18
- The ASFがCVE-2021-45046に関してCVSSを再評価、遠隔からの任意のコード実行が可能であるとして情報を更新
- DoS攻撃の脆弱性から任意のコード実行の脆弱性であると修正
- 2021/12/19
- The ASFがLog4j 2.16.0適用後でもDoS攻撃の脆弱性が存在するとしてCVE-2021-45105に関する情報を公開、修正バージョンLog4j 2.17.0(Java 8以降のユーザー向け)を公開
- 2021/12/22
- The ASFがCVE-2021-44228、CVE-2021-45046及びCVE-2021-45105についての修正バージョン2.12.3(Java 7のユーザー向け)及び2.3.1(Java 6のユーザー向け)を公開
- 2021/12/28
- The ASFがCVE-2021-44832についての情報および修正バージョン2.17.1(Java 8以降のユーザー向け)、2.12.4(Java 7のユーザー向け)及び2.3.2(Java 6のユーザー向け)を公開
4) 各脆弱性の対応状況(すべて日本時間)
| 日付 | CVE-2021-44228 | CVE-2021-45046 | CVE-2021-45105 | CVE-2021-44832 |
|---|---|---|---|---|
| 2021/11/25 | 脆弱性の報告 | |||
| 2021/12/10 | 修正バージョン 2.15.0の公開 | |||
| 2021/12/11 | 悪用の確認 | |||
| 2021/12/15 | 修正バージョン 2.16.0(Java 8以降のユーザー向け)及び2.12.2(Java 7のユーザー向け)の公開 | |||
| 2021/12/18 | CVSS評価値の更新 | |||
| 2021/12/19 | 修正バージョン 2.17.0(Java 8以降のユーザー向け)の公開 | |||
| 2021/12/22 | 2.12.3(Java 7のユーザー向け)及び修正バージョン2.3.1(Java 6のユーザー向け)を公開 | 2.12.3(Java 7のユーザー向け)及び修正バージョン2.3.1(Java 6のユーザー向け)を公開 | 2.12.3(Java 7のユーザー向け)及び修正バージョン2.3.1(Java 6のユーザー向け)を公開 | |
| 2021/12/28 | 2.17.1(Java 8以降のユーザー向け)、2.12.4(Java 7のユーザー向け)及び2.3.2(Java 6のユーザー向け)を公開 |
5) 参考情報
JPCERT/CC 注意喚起
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
JPCERT/CC Eyes
Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測
https://blogs.jpcert.or.jp/ja/2021/12/log4j-cve-2021-44228.html
Japan Vulnerability Notes JVNVU#96768815
Apache Log4jにおける任意のコードが実行可能な脆弱性
https://jvn.jp/vu/JVNVU96768815/
The Apache Software Foundation
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2021-12-24 初版
2022-01-05 CVE-2021-44832に関して「現在公表されている脆弱性」、「現在公開されている最新の修正バージョン」、「タイムライン」、「各脆弱性の対応状況」を更新
2022-01-07 「タイムライン」内の2021/12/19箇所について、CVE番号の誤記を修正
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:[email protected]
