マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行の脆弱性 - やじうまの杜 - 窓の杜
さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」にリモートコード実行(RCE)の脆弱性が存在することが明らかになり、波紋が広がっています。
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】 - やじうまの杜 - 窓の杜
「Log4j」は幅広く用いられているため、今までに挙げたソフトやフレームワーク、サービスのほかにも影響するものはかなり多そうです(「Steam」や「Apple iCloud」も影響を受けるとの情報も)。すでに対策版(v2.15.0)はすでにリリースされているようなので、一刻も早い対策が望まれます。
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】 - やじうまの杜 - 窓の杜
今回問題となっているのはJndi Lookupだ。これはJavaのJava Naming and Directory Interfaceによる変数名の置換で、ネットワーク越しに変数に相当する値を検索することができる。その中にLDAPも含まれる。例えば"${jndi:ldap://someremoteclass}"のようになる。
log4jの脆弱性について
二本松さんより
2.15.0にアップグレードできないユーザーは、以下の方法で暴露を軽減することができます。
・>Log4j 2.10以上のユーザーは、ログ・イベント・メッセージのルックアップを防ぐために、コマンドライン・オプションとして-Dlog4j.fatormatMsgNoLookups=trueを追加するか、クラスパス上のlog4j2.component.propertiesファイルにlog4j.fatormatMsgNoLookups=trueを追加することができます。
・>Log4j 2.7 以降のユーザは、ログ・イベント・メッセージ内のルックアップを防止するために PatternLayout 構成で %m{nolookups} を指定できます。
・>log4j-core jar から JndiLookup クラスと JndiManager クラスを削除しました。JndiManager を削除すると、JndiContextSelector と JMSAppender が機能しなくなります。
関連URL
- log4jの脆弱性について
- GitHub - apache/logging-log4j2: Apache Log4j 2 is an upgrade to Log4j that provides significant improvements over its predecessor, Log4j 1.x, and provides many of the improvements available in Logback while fixing some inherent problems in Logback's architecture.
- Log4j RCE Found | Hacker News
- GitHub - YfryTchsGD/Log4jAttackSurface
- Log4j 2.14.1の脆弱性対応
- us-16-MunozMirosh-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE
- 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か - ITmedia NEWS
- マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】 - やじうまの杜 - 窓の杜
- log4j2脆弱性!マイクラ全サーバー(バニラ、Spigot、Paperなど) | 令和の知恵袋
- Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub
- Log4J2のバージョンアップのやりかた - 日々常々
- CVE-2021-44228 - Log4j RCE 0-day mitigation
- Exploiting JNDI Injections in Java | Veracode blog
- Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation | CISA
- CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints