Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11（新規） 2022-01-04（更新） I. 概要 更新: 2022年1月4日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 次の更新を行いました。詳細は「III. 対策」を参照してください。 - Apache Log4jのバージョン2.17.1（Java 8以降のユーザー向け）、2.12.4（Java 7のユーザー向け）及び2.3.2（Java 6のユーザー向け）が公開されました JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三

[bata64]

「うちのシステムは大丈夫か」的なお問い合わせがサポート窓口に対して月曜日以降ポコポコ発生しそうな予感。備えよう。

[estragon]

今のところlog4j 1.xは影響を受けないとのこと→12/12更新：log4j(1), LOGBackでも限定的に影響あり（設定ファイル改竄前提） https://github.com/apache/logging-log4j2/pull/608#issuecomment-990661374 / nolookupsだけだとDOS脆弱性は残る

[tgk]

「遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先からclassファイルを読み込み実行し、結果として任意のコードが実行される可能性があります」

[kuzumimizuku]

1系でも同様の脆弱性があるとの情報もあったけど、1系はLookup機能がないので大丈夫ということなのかな？それならとりあえずは一安心……か？（2系だけでも更新作業はその後のテストや影響範囲を考えると大変だけど）

[programmablekinoko]

今駆け出しエンジニアやれば正月にオンサイト対応行脚できそう

[Zephid]

全くそういった情報が流れてこない現場でござる。

[kknsd]

1系の追記もされてた。結局1.xで脆弱性を利用しようとするなら、先にroot奪ってないとダメよみたいな事になり、そうなるとlog4jの心配しとる場合か！って事になる。

[rokujyouhitoma]

Java]

[nikoli]

週明けに「この脆弱性が該当するかを回答してほしい」という問い合わせが関係ないところからも山ほど来るかと思うと憂鬱…

[shinji]

IPAにも載るだろうから、間違いなく客から問い合わせくるやつだ。

[dubba]

本件の対応で週末も働かれている方々に幸あれ。

[raimon49]

ちゃんとASFコミュニティからの一次情報を拾って事実のみを淡々と書いてくれてある。過大にセンセーショナル化や矮小評価していない、ありがたい整理。

[ryouchi]

社外のサービス向けのサイトもそうだけど、イントラ上で展開されてるサービスとかもチェックしなきゃとなるとシステム開発部門や情報システム部門がかなり大変そうだな。

[nilab]

「Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用されると、遠隔の第三者が細工した文字列を送信し」

[HHR]

お仕事お疲れ様です。