Log4j脆弱性(Log4jShell, CVE-2021-44228)についての個人的まとめ(2021年12月11日,10時14分時点)
JavaのLoggerとしてめっちゃくちゃよく使われる、Apache Log4jに関する重大な脆弱性の情報を(軽く)まとめていくよ!
脆弱性の概要
巷では「Log4jShell」脆弱性と呼ばれているらしい
発端?
PRがなぜかオープンで行われてしまって、そこからやばいやん!となっていったっぽい: github.com
わかりやすい日本語の解説: log4jの脆弱性について
CVE番号
CVE-2021-44228 cve.mitre.org
IPAはまだですか?
問題
任意コード実行可能
そのままでも割とやばいんですが、特にやや古いJavaでは外部URLからのクラス実行?が許可されてるっぽい? → なんでもできる…
実際に、CVSSスコアはなんと!満点の10.0!! CVSS Score: 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Log4jはJava製ソフトならほぼ使ってるかも…
本当に代表的なLoggerで、特にApache関連のソフトウェアで使われるが、Elastic searchなどにも使われてるし、やばい! ゲームMinecraftでも、公式で使われているだけではなく、Mod/Pluginなどの自作ソフトウェアにもよく使われる。 → 全部のソフトウェアが対応するまで待たないといけない可能性あり…?
Apacheの行動がまずい?
本当はクローズドPRで行われるべき案件がオープンだった。あかん…。 ASF Project Security for Committers
余談
それなんてGaba
そんなんもうJavaじゃなくてGabaじゃん(´・_・`)
— Hideyuki Tanaka (@tanakh) 2021年12月11日
うわーーどこでも、うわああああ
write once, run anything
— こんにちwada314 (@wada314) 2021年12月10日
Java(Gaba)の売り文句になぞらえて
30億のデバイスで走る任意のコード……
— Shinya Kato (@0x19f) 2021年12月10日