Skip to content

Log4jのCVE対応ガイダンス更新

    

以下の情報は、進化するセキュリティ状況に対して最新ではありません。この問題について最新情報は[更新されたガイダンス](2.17へのアップグレード)をご参照ください。

Apache Software Foundationは、バージョン 2.15.0以下のパッチではLog4Shellの修正に不十分であるとの情報を更新しました。新たにバージョン2.16.0へアップデートすることにより、これらの問題が解消されます。またJVMの設定を更新すると攻撃者により上書きされる可能性があるため、有効な修正方法ではなくなることも確認されています。

何が変わったのか?
具体的には、Log4jバージョン2.15では完全に修正されてなく、特定のデフォルト以外の設定や、Context Lookupのようなパターンレイアウトを使用したアプリケーションにはまだ脆弱性が残ってしまっています。以前のバージョンよりも遠隔で悪用されるリスクについては改善されましたが、設定を誤ると別の問題が発生する可能性があります。しかしながら、バージョン2.15へのアップグレードでも、著名な研究者により回避可能なことは明らかになっています。その研究者の1人、
GitHub SecurityのAlvaro Muñoz氏はどのような問題が起こりうるかについての例を発表しています。

推奨事項:

脆弱なLOG4Jインスタンスを見つける必要があります。
Log4jやその他の脆弱なライブラリを見つけるためには、Contrast製品で生成可能なソフトウェア部品表(S-BOM)が必要です。これらのインベントリにより、どのアプリケーションが影響を受けているのかを確認し対策出来るようにします。

まだインベントリを作成出来ていない他のアプリケーションも確認することをお勧めします。これらのアプリケーションの評価には、SafeLog4jなどのツールが活用出来ます。

LOG4Jを見つけた場合の対処方法:

Log4j2
アプリケーションの中にLog4J2を発見されたお客様は、バージョン2.16.0にアップグレード頂く必要があります。これよりも低いバージョンでは、遠隔から攻撃可能であり深刻なCVEが1つ以上存在する可能性があります。

カスタマイズされたアプリケーションをご利用の場合は、ライブラリを更新し、アプリケーションの再構築・再デプロイをお勧めします。

ベンダーのアプリケーションをご利用の場合は、ベンダーから最新のソフトウェアを入手してください。もし更新出来ない、または更新しない場合はシステムやデータが遠隔から攻撃される危険性が高くなります。

Log4j1
Log4j1が見つかった場合は、Log4jバージョン2.16にアップグレードするか、ライブラリからJMSAppenderとSocketServerのクラスを削除するようにしてください。これを行うには、以下を実行します。(パスにLog4jのバージョンを含めます。)
• zip -d log4j-1.x.x.jar org/apache/log4j/net/JMSAppender.class
• zip -d log4j-1.x.x.jar org/apache/log4j/net/SocketServer.class

検出・防御機能の追加を推奨
セキュリティの問題による混乱を回避するために準備をしていたお客様に共通しているのは、アプリケーション内にセキュリティセンサー(Contrastエージェント)を実装されていたことです。そして、いざという時、何をどうすれば良いのかがわかるのです。エージェントが新しいカスタムコードの脆弱性を検出した際、ユーザは何が起こったのか、どのようなリスクがあるのか、どのように問題を修正すればいいのか理解することが出来ます。結果、短時間で修復を行い、組織のセキュリティを保ち、将来のセキュリティに関する大きな問題を回避することが出来ます。
アプリケーション層で監視や防御が可能なContrast AssessとProtect利用をご検討ください。

現時点では、log4jバージョン2.16へのアップデートを推奨しています。バージョン2.16では、デフォルト設定の状態で脆弱性の原因となったJNDIのルックアップ機能を完全に無効化します。

次のステップ:
状況は流動的で常に変化しています。何か新たな情報が入り次第、随時アップデートしていきます。こちらからご登録して頂ければ、Log4jに関する最新情報のアラートが届き、このトピックに関するApacheのページを確認出来ます。

著者:
Erik Costlow

デベロッパーリレーションディレクター
Erik Costlowはオラクルのプリンシパル・プロダクトマネージャーで、Java 8と9のセキュリティとパフォーマンスに注力していました。彼のセキュリティに関する専門知識として、脅威モデリング、コード解析、セキュリティセンサー計測を有しています。このようなセキュリティへのアプローチを広げるために、現在はContrast Securityで活躍しています。テクノロジーに携わる前、Erikは3輪の垂直一輪車で火をジャグリングするサーカスのパフォーマーでした。

Erik Costlow, Director of Developer Relations

Erik Costlow was Oracle’s principal product manager for Java 8 and 9, focused on security and performance. His security expertise involves threat modeling, code analysis, and instrumentation of security sensors. He is working to broaden this approach to security with Contrast Security. Before becoming involved in technology, Erik was a circus performer who juggled fire on a three-wheel vertical unicycle.