こんにちは!
今月も「OSSのサポートエンジニアが気になった!OSSの最新ニュース」をお届けします。
2021年12月上旬、Log4j に存在するリモートコード実行の脆弱性 (CVE-2021-44228) が公開されました。
Log4j は、Java のアプリケーションにおいてログ出力を行うライブラリとして広く使われており、
今回の脆弱性では簡単な手法での攻撃実行が可能となるため、非常に影響範囲が大きいとして危惧されています。
今号では、本脆弱性 (CVE-2021-44228, CVE-2021-45046) についての情報をまとめました。
既に対応済みという方も、内容の振り返り等にご活用ください。
●本脆弱性に関連する CVE
- CVE-2021-44228
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 - CVE-2021-45046
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046 - CVE-2021-4104
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-4104 - CVE-2021-42550
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42550 - CVE-2021-45105
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
●サポートにお問合せの多かった OSS(Apache 関連の OSS, PostgreSQL, Nginx) への影響について
本脆弱性が、Tomcat, PostgreSQL, Nginx に影響があるかについてのお問合せが多かったので、
こちらに情報をまとめました。
- Apache 関連の OSS
https://blogs.apache.org/security/entry/cve-2021-44228 - PostgreSQL
https://www.postgresql.org/message-id/163941039887.26069.1805777468235300589%40wrigleys.postgresql.org - NginX
https://support.f5.com/csp/article/K19026212
●Log4j をすぐにアップデートできない場合においての、暫定的な対応策について
IPA のサイトに、「暫定的な回避策」として情報があります。
- Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
最後に、本脆弱性に関する詳細な情報はサイオスセキュリティブログでもご紹介していますので、ぜひご覧になってください。
