二本松さんより

2.15.0にアップグレードできないユーザーは、以下の方法で暴露を軽減することができます。
・>Log4j 2.10以上のユーザーは、ログ・イベント・メッセージのルックアップを防ぐために、コマンドライン・オプションとして-Dlog4j.fatormatMsgNoLookups=trueを追加するか、クラスパス上のlog4j2.component.propertiesファイルにlog4j.fatormatMsgNoLookups=trueを追加することができます。
・>Log4j 2.7 以降のユーザは、ログ・イベント・メッセージ内のルックアップを防止するために PatternLayout 構成で %m{nolookups} を指定できます。
・>log4j-core jar から JndiLookup クラスと JndiManager クラスを削除しました。JndiManager を削除すると、JndiContextSelector と JMSAppender が機能しなくなります。

関連URL

• log4jの脆弱性について
• GitHub - apache/logging-log4j2: Apache Log4j 2 is an upgrade to Log4j that provides significant improvements over its predecessor, Log4j 1.x, and provides many of the improvements available in Logback while fixing some inherent problems in Logback's architecture.
• Log4j RCE Found | Hacker News
• GitHub - YfryTchsGD/Log4jAttackSurface
• Log4j 2.14.1の脆弱性対応
• us-16-MunozMirosh-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE
• 「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か - ITmedia NEWS
• マイクラもハッキング ～「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】 - やじうまの杜 - 窓の杜
• log4j2脆弱性！マイクラ全サーバー(バニラ、Spigot、Paperなど) | 令和の知恵袋
• Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub
  • 今回問題となっているのはJndi Lookupだ。これはJavaのJava Naming and Directory Interfaceによる変数名の置換で、ネットワーク越しに変数に相当する値を検索することができる。その中にLDAPも含まれる。例えば"${jndi:ldap://someremoteclass}"のようになる。
• Log4J2のバージョンアップのやりかた - 日々常々
• CVE-2021-44228 - Log4j RCE 0-day mitigation
• Exploiting JNDI Injections in Java | Veracode blog
• Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation | CISA
• CVE-2021-44228: Apache Log4j2 JNDI features do not protect against attacker controlled LDAP and other JNDI related endpoints

JavaScript 第7版

• 作者:David Flanagan
• オライリージャパン

Amazon