JPCERT/CCは、多くのアプリやウェブサービスで利用されているJavaライブラリ「Apache Log4j」の脆弱性に関する情報を更新し、2021年12月28日(米国時間)に公開されたバージョン2.17.1(Java 8用)への更新を呼びかけた。JVN(Japan Vulnerability Notes)でも、本件に関する情報を更新している。
Apache Log4jには複数の脆弱性が確認されており、既報(JPCERT/CC、「Apache Log4j」の複数の脆弱性についてまとめたページを公開)の通り、日本時間の2021年12月28日時点で、バージョン2.17.0(Java 8用)、2.12.3(Java 7用)、Apache Log4j 2.3.1(Java 6用)が公開されていた。
その後、バージョン2.0-beta7から2.17.0まで(2.3.2および2.12.4を除く)に新たな脆弱性が発見された。攻撃者がログ出力設定を変更できる場合に限り、任意のコード実行が行われる可能性があるもので、CVSS v3のスコアは6.6で、深刻度はModerate。CVEはCVE-2021-44832。
この脆弱性を修正した最新版として、2021年12月28日(米国時間)に、以下のバージョンが公開されている。
- Apache Log4j 2.17.1(Java 8用)
- Apache Log4j 2.12.4(Java 7用)
- Apache Log4j 2.3.2(Java 6用)