セキュリティ関連情報
2021-12-12

【Log4j】Javaで作成されたほぼ全てのWEBサービスが影響を受ける「Log4Shell」脆弱性(CVE-2021-44228)

投稿者: KuRo

参考リンク
https://www.jpcert.or.jp/at/2021/at210050.html
https://www.randori.com/blog/cve-2021-44228/
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://aws.amazon.com/jp/security/security-bulletins/AWS-2021-005/
https://search.yahoo.co.jp/realtime/search?p=CVE-2021-44228&ei=UTF-8&ifr=tl_sc

この記事で紹介していること

Log4j に脆弱性が見つかる

Log4j とは、Java でログを記録するための機能です。
極めてシェアが高く、Javaで作成するWEBサービスのすべてがこれを使っていると言ってもいいくらいメジャーです。

明示的に使うつもりがなくても、Javaのフレームワークやライブラリを使っていれば、ほぼ Log4j を参照していると思われます。

何が起きるか

通常 Log4j にログを記録させる内容は、利用者がどんな要求をしたか、です。
この要求に含まれる文字に、特定の文字が含まれたとき、次のようなことが起きます。

Log4j 脆弱性で何が起きるか
  1. Log4jの脆弱性を狙った悪意のある要求をサーバに送信
  2. Log4j が上記入力値をログに記録するとき、入力値を解釈。悪意あるサーバにアクセスされる
  3. 悪意あるサーバの悪意あるプログラムをダウンロードさせられます
  4. あなたのサーバ内で、上記悪意あるプログラムが実行されます
  5. 悪意あるプログラムは好き放題

Log4j脆弱性 CVE-2021-44228 概要

対応方法

  1. Log4j 2.15.0 以上に更新(ただし、Java8必須)
  2. log4j.xml に 【%m】があったら、【%m{nolookups}】に書き換える(Log4j 2.7 以上なら対応可:参考リンク
  3. AWSならWAFのマネージドルール「Log4JRCE」を適用する(参考リンク

何もしなくても大丈夫なケース

いまのところ、以下のケースは大丈夫そう

Log4j 脆弱性 大丈夫そうな利用ケース
  • Log4jを使っているサーバが、インターネットに接続できない場合(ただし、悪意あるサーバが内部にあったらアウト)
  • Log4j のバージョンが 1 (ただし、他の脆弱性が放置されており、対応されない)

まとめ

この脆弱性の発見は、Log4jのシェアが高いことのほか、2.15 への更新には Java8 以上への更新が必要なことも、厄介です。
複数の対応方法がありますが、恒久対応として、最新版への更新がいつでもできるようにしたほうがよいですね。

投稿者について

元警察官の安全確保支援士資格保有、フリーランスエンジニアです。 WEB系バックエンドを主軸にアプリ開発、インフラ構築なども手掛けています。 いずれはすべてのスキルを底上げしてフルスタックエンジニアと胸を張って言えるようになりたいです。 ■facebook では、警察官時代の先輩、イケメンコメンテーター「佐々木成三」さんとタッグを組んで、テレビやラジオ、イベントなどに参加させていただいている様子などをご紹介しています。 ■毎月1回、調布FMのラジオ番組「Middle Age Cafe」にパーソナリティとして参加しています。アプリで聞いてね。 ■自前のブログ「TechnoKuRoプログ」で、プログラミング技術、サーバ技術や、仮想通貨のマイニングなど、PC関連の話題を取り上げて不定期更新しています。 ■LINEオープンチャット「フリーランスエンジニア」を運営しています。ここでは100名を超えるフリーランスやフリーランスを目指す人たちが、皆さんの質問への解答はもちろん、くだらない雑談まで、ゆる~く会話しています。ぜひ参加してみてくださいね。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です