マイナビニュース

Java用ロギングライブラリ「Apache Log4j 2」にリモートコード実行の ...

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は12月11日、「Apache Log4jの任意の ...
窓の杜

「Apache Log4j 2.15.0」のLog4Shell脆弱性対策は不完全、v2.16.0への更新を ...

The Apache Software Foundation(ASF)は12月14日、ロギングライブラリ「Apache Log4j 2.15.0」で実施された「Log4Shell」脆弱性(CVE-2021-44228)への対策が不完全であったことを明らかにした。 開発チームによると、「Log4j 2.15.0」では任意コード実行につながるJNDI LDAP ...
Yahoo!ニュース

緊急レベルのJava「Log4j」脆弱性、多くのシステムに影響する恐れ

Java用ライブラリ「Log4j」に深刻な脆弱性(公式Webサイトより) 米国時間の12月9日ごろから、Java用のログ出力ライブラリ「Apache Log4j」におけるリモートコード実行の脆弱性が話題になっています。広く普及しているライブラリに致命的な問題が見つかった ...
ITmedia

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Java ...

Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と ...
INTERNET Watch

JPCERT/CC、「Apache Log4j」の複数の脆弱性についてまとめたページを公開

CVE-2021-45046:Log4j-core 2.15.0で任意のコードが実行可能な脆弱性 Apache Log4j 2.15.0におけるCVE-2021-44228に対する修正が不完全であったため、攻撃者が悪用することで、特定の構成において任意のコードが実行となってしまう。 CVSS v3のスコアは9.0で、深刻度はCritical。
ITmedia

Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に

米Apacheソフトウェア財団は12月13日(現地時間)、Java向けログ出力ライブラリ「Apache Log4j」(Log4j)のバージョン2.16.0をリリースした。変更点は、JNDI機能をデフォルトで無効にしたことと、Message Lookup機能を削除したことの2点で、問題となっていた脆弱性に ...
マイナビニュース

LogbackにもLog4j 2と同様のリモートコード実行の問題、ただし悪用は困難

Javaのロギングライブラリ「Apache Log4j 2.x(以下、Log4j 2)」に発見されたリモートコード実行の脆弱性、通称「log4Shell」がIT業界を騒がせている。この脆弱性は、同ライブラリで提供されているJNDI Lookupと呼ばれる機能に起因するものだが、Log4j 2と並んで広く ...