Javaで利用されるロギングライブラリのApache Log4jにて任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、脆弱性 (CVE-2021-44228) が存在することが判明いたしました。サーバ外部から本脆弱性を悪用することで任意のコードを実行することができます。
Apache Log4j の脆弱性については以下のURLを参考にしてください
・JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
対象バージョン
対象となるバージョンは以下の通りです
・Apache Log4j 2.15.0 より古いバージョン(2系のみ)
お客様のアプリケーション内で、該当のバージョンのApache Log4jをお使いの場合は速やかに 2.15.0 以降へのアップデートをお願いします。
2021年12月16日追記
Apache Log4jのサービス運用妨害(Denial of Service, DoS)脆弱性(CVE-2021-45046)について追加で発表されています。
任意のリモートコードが実行できる脆弱性(CVE-2021-44228)およびサービス運用妨害脆弱性(CVE-2021-45046)に対応するため、2.16.0 以降(Java 8以降をお使いの場合)または2.12.2(Java 7をお使いの場合)へのアップデートをお願いします。
2021年12月20日追記
Apache Log4j 2.16.0以下のバージョンにて新たなサービス運用妨害脆弱性(CVE-2021-45105)が発表されております。Java 8以降をお使いの場合は本脆弱性に対応した 2.17.0 以降へのアップデートをお願いします。
Java 7をお使いの場合は以下のURLを参照し、対策を行ってください。
Log4j – Apache Log4j Security Vulnerabilities
アプリケーションへの影響
Apache Log4j はログを記録する目的で、様々なアプリケーションやソフトウェアで利用されています。
Javaによって構築されているアプリケーションをご利用の場合、開発元が公開する情報を参照し、必要な対策をお願いします。
代表的なアプリケーション/提供元の脆弱性情報
・Minecraft
Important Message: Security vulnerability in Java Edition | Minecraft
・Elastic(Elasticsearch/logstash等)
・Jenkins
Apache Log4j 2 vulnerability CVE-2021-44228
・Metabase
ump log4j from 2.14.1 to 2.15.0 (#19309) · metabase/metabase@8bfce98 · GitHub
さくらのクラウド 基盤システムへの影響
さくらのクラウドの基盤システム(バックエンドシステムのほか、コントロールパネル等のフロントエンドシステムも含みます)において、本脆弱性の影響を受ける製品は使用しておりません。
なお、さくらのクラウド以外の弊社提供各サービスへの影響については、【重要】Apache Log4j ライブラリの脆弱性における当社サービスへの影響についてを参照ください。
参考情報
・さくらのクラウドで提供するWAF「SiteGuard Server Edition」にて本脆弱性に関する情報がでております
Apache Log4jの脆弱性(CVE-2021-44228)と「SiteGuardシリーズ」の対応
・GitHub Restrict LDAP access via JNDI #608 – apache / logging-log4j2
・米LunaSecの報告: RCE 0-day exploit found in log4j2, a popular Java logging package
・さくらインターネット さくらのサポート情報: Minecraft Server(Java版) アップデートのお願い
