Fujitsu Cloud Direct ブログ

初心者エンジニア向け技術ブログ

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)についてご案内

この記事は、ニフクラブログで2021-12-13に公開された記事を移転したものです。

こんにちは。 富士通クラウドテクノロジーズの鮫島です。

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起」が、JPCERTから出されています。

脆弱性の状況

どういう状況か、簡単にご説明します。 Apache Log4jが動作するサーバーにおいて、Apache Log4jの脆弱性を利用した攻撃(攻撃性のある・悪意のある任意のコードが実行されてしまう)を受ける可能性があります。

通称:Log4Shell だそうです 
ちなみに、本脆弱性は通称:Log4Shellと呼ばれているようです。

上記サイトの情報によると対象となるバージョンは次のとおりです。

 - Apache Log4j 2.15.0より前の2系のバージョン

対処

The Apache Software Foundationから本脆弱性を修正したバージョンが公開されているので、影響のあるバージョンをご利用の場合

- Apache Log4j 2.15.0

をダウンロード(より新しいバージョンがリリースされている場合もあります)してご利用ください。

回避策

その他、事情がありバージョン変更が困難な場合の対処など最新情報については、上記JPCERTに「IV. 回避策」が案内されています。 ※本記事では、最新情報を追えるようをあえて直リンクは記載しません。

その他

また、JPCERTサイトによると、本脆弱性を悪用する攻撃の影響を軽減するため、

システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化

もご検討くださいとのこと。

ニフクラでは、2種類のWAF(Webアプリケーションファイアウォール)をソリューションとして提供しています。

クラウド 機能・サービス(WAF(Scutum))

クラウド 機能・サービス(WAF(攻撃遮断くん))

それぞれの提供元からWAFに関して下記の情報がでています。

support.scutum.jp

www.shadan-kun.com

必用に応じてご利用をご検討ください。

追記(プロジェクトの脆弱性を検知する方法)

プロジェクトの脆弱性を調べるのに苦労されている方が多いと思います。 GitLab のDependency Scan という機能を利用すると、プロジェクトのコードをコミットするたびに自動で脆弱性を検出し、すぐに対処することができます。

この機会にGitLabの導入を検討してみてはいかがでしょうか? https://pfs.nifcloud.com/service/gitlab_ee.htm

追記(ニフクラの対応)

ニフクラの各種サービスについては、脆弱性に該当する箇所を確認し対応を随時実施しています。
現時点で脆弱性の問題は確認されておりませんが、継続して調査を行いお客様に影響を与える可能性がある場合は迅速に通知します。