平素より弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apache Log4jにて脆弱性情報が公開されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNDB-2022-003903
Apache Log4j における SQL インジェクションの脆弱性
https://jvndb.jvn.jp/ja/contents/2022/JVNDB-2022-003903.html
I. 概要
JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2022-23305)
があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信
することで、任意のコードを実行される可能性があります。
II. 対象
対象となるバージョンは次のとおりです。
- Apache Log4j 1.2.x
III. 対策
Apache Log4j 1.2 は2015年8月にサポートが終了しています。
ユーザーは Log4j 2 にアップグレードする必要があります。
IV. 参考情報
- https://www.cve.org/CVERecord?id=CVE-2022-23305
- https://logging.apache.org/log4j/1.2/index.html
- https://lists.apache.org/thread/pt6lh3pbsvxqlwlp4c5l798dv2hkc85y
- http://www.openwall.com/lists/oss-security/2022/01/18/4
- https://www.oracle.com/security-alerts/cpuapr2022.html
- https://security.netapp.com/advisory/ntap-20220217-0007/
備考
最終更新日 2023.03.20
