現在Java製ソフトウェアで広く使用されているログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行することができる重大な脆弱性「Log4Shell(CVE-2021-44228)」が存在することがわかり大きな注目を集めています。
Java製ソフトウェアはサーバーサイドで使用されることも多く、攻撃者から容易に悪用される可能性があることから重大な問題となっているなか、Log4Shellに関する情報をまとめたリファレンスサイト「Log4Shell log4j vulnerability (CVE-2021-44228) – cheat-sheet reference guide」が公開されています。
セキュリティ研究者Royce Williams氏によって作成されたページで、脆弱性の影響範囲や、概要、技術的な分析、対策方法、影響を受ける製品などさまざまな関連情報がわかりやすくまとめられています。
例えば対策に関しては、最も正攻法であるLog4jライブラリの2.15以降への更新を行うというもののほか、Javaのシステムプロパティで「log4j2.formatMsgNoLookups」をtrueに設定する方法、パターンレイアウトで「%m{nolookups}」を指定しログイベントメッセージのルックアップを防ぐ方法など、いくつかの対策や緩和策が難易度別にリストアップされています。
Apache Log4jを使用しているJavaプログラムの管理者の方は参考にしてみてはいかがでしょうか。