Apple iCloud、Steam、Amazon、Twitter、Cloudflare、Minecraft などのいくつかの人気サービスは、Apache Software Foundation が開発した「log4j2」と呼ばれる広く使用されている Java ログ システムで発見された「ユビキタス」ゼロデイ エクスプロイトに対して脆弱なままです。 。
LunaSec のサイバーセキュリティ研究者によって「Log4Shell」と呼ばれ、Alibaba の Chen Zhaojun 氏の功績が認められたこの脆弱性は、特定の文字列をログに記録することでリモート コード実行 (RCE) を引き起こし、攻撃者がコンピュータ システムに制御されないアクセスを取得し、数百万ドルの被害をもたらすマルウェアをインポートできるようにします。完全に危険にさらされているデバイスの数。
0日目は、ツイートした12 月 9 日に投稿された概念実証 (POC) とともにGitHub。
研究者らによると、このライブラリが遍在していること、悪用の影響 (完全なサーバー制御)、悪用の容易さを考慮すると、この脆弱性の影響は非常に大きいと考えられます。(CVE-2021-44228)「かなり厳しい」です。
LunaSec の研究者らは、Apache Struts を使用している人は誰でも脆弱である可能性が高いと述べ、2017 年の Equifax 侵害などの攻撃で同様の脆弱性が以前にも悪用されたと付け加えました。Apple サーバーの脆弱性は、単に次のような理由で引き起こされる可能性があります。iPhoneの名前を変更する。
この問題は、2.0-beta-9 からバージョン 2.14.1 までのすべてのバージョンに影響します。ただし、LunaSec は、6u211、7u201、8u191、および 11.0.1 以降の Java バージョンはこの脆弱性の影響を受けないと述べています。
この脆弱性は、2.0-beta-9 からバージョン 2.14.1 までのすべてのバージョンに影響します。 Minecraft サーバー Paper などの多くのオープンソース プロジェクトは、すでに「log4j2」の使用に対するパッチ適用を開始しています。影響を受けた組織からの回答の広範なリストがリストされています。ここ。
Apache Software Foundation は、ライブラリの最新バージョンであるバージョン 2.15.0 で緊急セキュリティ アップデートをリリースし、「log4j」のゼロデイ脆弱性を修正するとともに、すぐにアップデートできない場合の緩和手順を追加しました。
「ログ メッセージまたはログ メッセージ パラメータを制御できる攻撃者は、ログ メッセージからロードされた任意のコードを実行できます。LDAPメッセージ検索置換が有効な場合のサーバー」、Apache Foundation言った勧告で。 「Log4j 2.15.0 以降、この動作はデフォルトで無効になっています。」
ソフトウェアで Log4j を使用している場合は、すぐに最新の 2.15 バージョンにアップグレードすることをお勧めします。
