JPCERT/CC、Apache Log4jの新たな脆弱性とバージョン2.17.1公開に関して情報更新 JVNでも情報を更新

INTERNET Watch

 JPCERT/CCは、多くのアプリやウェブサービスで利用されているJavaライブラリ「Apache Log4j」の脆弱性に関する情報を更新し、2021年12月28日(米国時間)に公開されたバージョン2.17.1(Java 8用)への更新を呼びかけた。JVN(Japan Vulnerability Notes)でも、本件に関する情報を更新している。

 Apache Log4jには複数の脆弱性が確認されており、既報(JPCERT/CC、「Apache Log4j」の複数の脆弱性についてまとめたページを公開)の通り、日本時間の2021年12月28日時点で、バージョン2.17.0(Java 8用)、2.12.3(Java 7用)、Apache Log4j 2.3.1(Java 6用)が公開されていた。

 その後、バージョン2.0-beta7から2.17.0まで(2.3.2および2.12.4を除く)に新たな脆弱性が発見された。攻撃者がログ出力設定を変更できる場合に限り、任意のコード実行が行われる可能性があるもので、CVSS v3のスコアは6.6で、深刻度はModerate。CVEはCVE-2021-44832。

 この脆弱性を修正した最新版として、2021年12月28日(米国時間)に、以下のバージョンが公開されている。

  • Apache Log4j 2.17.1(Java 8用)
  • Apache Log4j 2.12.4(Java 7用)
  • Apache Log4j 2.3.2(Java 6用)

Source