Apache Log4j の脆弱性 (CVE-2021-44228) の影響について

本ドキュメントの対象となる製品

• MIRACLE LINUX 8.4
• MIRACLE LINUX 8 Asianux Inside
• Asianux Server 7 == MIRACLE LINUX V7 for x86_64 (64bit)
• Asianux Server 4 == MIRACLE LINUX V6 for x86 (32bit)
• Asianux Server 4 == MIRACLE LINUX V6 for x86_64 (64bit)

概要

Apache Log4j に存在する脆弱性 CVE-2021-44228 (Log4Shell) が公開されました。

この脆弱性は Apache Log4j が動作するサーバーにおいて、リモートの第三者が巧妙に細工したデータを送信することで、任意のコードが実行可能となる問題です。

詳細

Apache Log4j にはログとして記録されている文字列から一部の文字列をパースして変数として置換する Lookup 機能があります。そのうち、JNDI Lookup 機能には文字列の検証が不十分である問題があるため、リモートの攻撃者により送信された巧妙に細工された文字列がログとして記録されることにより、Lookup により指定された通信先、もしくはローカルの java class ファイルを実行することが可能となるため、結果として任意のコードの実行が可能となります。

本脆弱性は、リモートからの攻撃が可能な脆弱性となります。

影響範囲

当社から提供しているそれぞれの OS バージョンに付帯するパッケージについては、現時点では当該脆弱性の影響を受けないことを確認しております。

継続して影響について調査してまいりますので状況にアップデートがありましたら当ページを更新いたします。

参考情報

CVE-2021-44228

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

https://www.jpcert.or.jp/at/2021/at210050.html

Apache Log4j Security Vulnerabilities

https://logging.apache.org/log4j/2.x/security.html

Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package

https://www.lunasec.io/docs/blog/log4j-zero-day/

注意事項

本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。

変更履歴

2021年 12月13日 初版作成