JavaのLoggerとしてめっちゃくちゃよく使われる、Apache Log4jに関する重大な脆弱性の情報を(軽く)まとめていくよ！

脆弱性の概要

巷では「Log4jShell」脆弱性と呼ばれているらしい

発端？

PRがなぜかオープンで行われてしまって、そこからやばいやん！となっていったっぽい: github.com

わかりやすい日本語の解説: log4jの脆弱性について

CVE番号

CVE-2021-44228 cve.mitre.org

Apache側の報告 logging.apache.org

NVD - CVE-2021-44228

IPAはまだですか？

問題

任意コード実行可能

そのままでも割とやばいんですが、特にやや古いJavaでは外部URLからのクラス実行?が許可されてるっぽい？ → なんでもできる…

実際に、CVSSスコアはなんと！満点の10.0！！ CVSS Score: 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Log4jはJava製ソフトならほぼ使ってるかも…

本当に代表的なLoggerで、特にApache関連のソフトウェアで使われるが、Elastic searchなどにも使われてるし、やばい！ ゲームMinecraftでも、公式で使われているだけではなく、Mod/Pluginなどの自作ソフトウェアにもよく使われる。 → 全部のソフトウェアが対応するまで待たないといけない可能性あり…？

Apacheの行動がまずい？

本当はクローズドPRで行われるべき案件がオープンだった。あかん…。 ASF Project Security for Committers

余談

それなんてGaba

そんなんもうJavaじゃなくてGabaじゃん(´･_･`)

— Hideyuki Tanaka (@tanakh) 2021年12月11日

うわーーどこでも、うわああああ

write once, run anything

— こんにちwada314 (@wada314) 2021年12月10日

Java(Gaba)の売り文句になぞらえて

30億のデバイスで走る任意のコード……

— Shinya Kato (@0x19f) 2021年12月10日