Apache Log4j 脆弱性(Log4Shell)に思う
Apache のOSS に脆弱性があるというニュースがあった。 それ自体は驚かないのだが、VMware の製品のような、商用製品に多数その脆弱性に該当する製品があるということだ。
OSSは基本リスクであるから、SIerはSIする際に使う場合は意識するが、商用製品に広範囲にこっそり使われているのまでは意識できない。というよりも情報が開示されないのでわからない。 これは困った事である。 商用製品の開発にはできるだけOSSは組み込んでほしくない。 特に数が出るものは。
●Apache Log4j の深刻な脆弱性CVE-2021-44228についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/12/13/045541
●Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始
https://news.yahoo.co.jp/articles/c4d5f383968a8b2906b924bc2611c1172530c2ae
●「Apache Log4j」の脆弱性、VMwareの36製品に影響
https://www.security-next.com/132381
●Log4jの脆弱性(CVE-2021-44228)のVMware製品の対応状況について
(12/14版)
https://blogs.networld.co.jp/entry/2021/12/12/210529
●各ベンダーが「Log4Shell」の検知方法、対策プログラムなどの情報を発信
- 「同2.15.0-rc1」には対策バイパスのおそれも
https://www.security-next.com/132414
●サイバーリーズン、Log4j2(Log4Shell)脆弱性(CVE-2021-44228)をついた
攻撃(エクスプロイト)防止のために、ワクチンを提供開始
https://www.cybereason.co.jp/blog/cyberattack/7301/
★これは、以下に書いてある推奨される対策を実施するためのもの
こういったものが必要になる程、気づかずに使ってしまう状況が
生まれているということだろう
上記のサイトの情報をざっくりまとめると、以下のような内容になる。
・対象となるソフトはApache Log4j
この脆弱性には「log4Shell」という別名がつけられている
・Apache Log4j とは? Java ベースのロ出力ライブラリ
・問題点 特定文字列を変数として扱って動的に置換をする lookup 機能が
不正利用をうける
具体的には JNDI(Java Name and Directory Interface) Lookup 機能
(LDAP, RMIへのアクセス機能)を使う事でlookupで指定された先から
Java class ファイルを取得する。この結果として、任意のコードを
実行できる。
・影響をうける Ver は 2.0ベータ9以降 2.14.1 まで
2.15.0は対策がされている
2.15.0の対策
・lookup機能がデフォルトで無効(従来は有効)
・JNDI lookup機能への制限の強化
ただし、2.15.0-rc1 の対策はバイパスが可能とも言われている。
JNDI lookup の脆弱性で影響をうける Java
6u11, 7u201, 8u191, 11.0.1 以前
・推奨されている対策
・lookup機能そのものの無効化
・JNDI機能の無効化(jndilookup.classの削除)
・Java 環境の最新化
普遍的な対策
・外部から直接接続可能でないようにシステムを構成する
・内部の他システムとのネットワーク接続を必要最小限に限定する
感想
ログの出力というどうという事がない(大した処理でない)事を実現する
ために外部のOSSライブラリが広範に利用されているというのは如何な
ものかと思う。
OSSをプロダクトに組み込むというのは、自社で統制できないコード
(処理)を製品に組み込むことなので、リスクが高い。
リスクが高いというのは、脆弱性が発覚した時に、おおっぴらになる
ため、速攻で攻撃されやすいという意味だ。
ネットワーク経由の不用意な通信許可を便利だから、速いからという
理由で許可するのは危険である。 便利・速さは危険との隣り合わせ
だからだ。
クラウド時代だから、境界セキュリティは役立たず=不要という考え方
は危険だ。 自システム以外は危険なのであり、自システムと他システ
ムの境界を意識してその境界に防御を施すというのはいつの時代でも
必要なことである。
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/2b/70/40c8e96e5298bcdc6f790865f1c32793.png)
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/38/2a/f7dc138794cc75cfd5e0344a023f2c5b.png)
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/07/5c/7170dc1021f81a1cd8c0df89ed59d908.png)
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/61/01/77adc995710dd1883bbee43aef05a416.png)
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/2c/70/0c06849aa7a0d0e861a4396b9bf0251a.png)
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/17/4f/867616e8eacc35125e0322c5a2d6c646.png)
![[情報] 4輪自転車 セリオ遊歩リベルタ 共栄製作所けんきゃくん](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/11/c0/be19bb2b4be9466241df3e21b50acc99.png)
![[情報]Windowsでフォルダのサムネイルを先読みキャッシュするソフト](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/05/9e/057d943f671e25446295505303e6e3a9.png)
![[期待] 久しぶりに登場する(?)キーボードつきスマホ「Minimal Phone」](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/21/b2/466d04548e18292a749e4c754390ac00.png)
![[期待] 久しぶりに登場する(?)キーボードつきスマホ「Minimal Phone」](https://blogimg.goo.ne.jp/image/upload/f_auto,q_auto,t_image_square_m/v1/user_image/62/01/76c0449b6c3ce88fe194d936ab3eb546.png)
※コメント投稿者のブログIDはブログ作成者のみに通知されます