BLOG

重大な脆弱性に関する情報が飛び込んで来ました！！！

Javaを用いたシステムで広く採用されているログ処理用ライブラリである
「Apache Log4j」に、重大な脆弱性が発見された、とのこと。

▼JPCERT/CCのサイトから概要を抜粋します。
https://www.jpcert.or.jp/at/2021/at210050.html
Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで、Log4jはLookupにより指定された通信先もしくは内部パスからjava classファイルを読み込み実行し、結果として任意のコードが実行される可能性があります。

ほとんど開発をしたことのない私のような者にも、
相当やばい！！！ということだけは伝わってきます。
ーJavaが広く使われていること
ーログを保管しておくという機能も普通に装備されているケースが多いこと
などから、影響範囲がめちゃくちゃ広いと言われています。

自分たちの組織で使用しているシステムが、
ー「Apache Log4j」を利用しているかどうか？
ー影響を受けるのかどうか？
ーもし該当するようなら、パッチの提供は？
といったことを、至急確認することをお勧めします！！

＜2021/12/24更新＞
各社から続々と提供しているサービスに関する影響について、情報が公開されています。

▼​トレンドマイクロ

https://success.trendmicro.com/jp/solution/000289941

▼株式会社バッファロー

https://www.buffalo.jp/news/detail/20211222-01.html

▼サイボウズ株式会社

https://cs.cybozu.co.jp/2021/007558.html​