![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2021-12-15T01:07:37+00:00","default:admin","admin") #author("2021-12-15T01:08:09+00:00","default:admin","admin") -[[@police:http://www.cyberpolice.go.jp/index.html]] -[[Japan Vulnerability Notes:http://jvn.jp/]] --[[脆弱性対策情報データベース検索:http://jvndb.jvn.jp/]] *2021年 [#pc67114f] **[[JVNDB-2021-005429 - Apache Log4j における任意のコードが実行可能な脆弱性:https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-005429.html]] [#u4ffa19a] -[[CVE-2021-44228:https://nvd.nist.gov/vuln/detail/CVE-2021-44228]] -[[「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か:https://www.itmedia.co.jp/news/articles/2112/10/news157.html]] -[[緊急レベルのJava「Log4j」脆弱性、多くのシステムに影響する恐れ:https://news.yahoo.co.jp/byline/yamaguchikenta/20211210-00272082]] ***概要 [#a2a6247c] -Log4j は、Java ベースのロギングライブラリです。 -Log4j には JNDI Lookup 機能による外部入力値の検証不備に起因して任意の Java コードを実行可能な脆弱性が存在します。 -Log4j には、ログに記載された文字列から一部の値を変数として評価する Lookup 機能が実装されています。 -その Lookup 機能の内、JNDI Lookup 機能を悪用することにより、ログに含まれる外部の URL もしくは内部パスから Java のクラス情報をデシリアライズして実行してしまう問題(CWE-20, CVE-2021-44228)が発見されました。 -これにより、遠隔の攻撃者が細工した文字列を脆弱なシステムのログに記載させ、結果として任意の Java コードをシステムに実行させることが可能です。
