Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
log4jの0-day exploitを動かして理解する
これはKCS AdventCalendar2021 10日目の記事です。 ←9日目|11日目→ どうもyapattaです。最近アドベントカレンダー用の技術記事を書こうと思っていたが書きたい技術が思い浮かばなかった。 そんなときである!本日(投稿したときには前日)幸か不幸かインターネット上でApache-log4jのゼロデイ・エクスプロイト(CVE-2021-44228)が話題を賑わせた。 せっかくだし流行に乗って、実際に動かして理解を深めた。セキュリティ啓発になったら幸いということでこの記事を書く。 急いで書いてかつ自分の知識が不十分であるため、誤りなどが存在する可能性があるがそのときは指摘して頂けるとありがたい。 あとこれが重要、絶対に悪用しないで下さい。 では本題。 log4j RCE 0-day exploitとは 概要 サーバ内でApache log4jのバージョンが2.0以上2.
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
