「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開

任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation（ASF）は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 新たな脆弱性（CVE-2021-44832）は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系（ただし特定のセキュリティ修正バージョンを除く）。 CVSS（共通脆弱性評価システム）スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性（CVSS10.0で「致命的」）より影響レベルは低いが、直前に見つかっていたDoS（サービス拒否）攻撃の脆弱性よりは高く見積もられて

[teramako]

「攻撃者がログ設定ファイルを変更できる権限を持った場合」だぞ。慌てる必要なくね？

[kknsd]

あれ？log4j 1.xの脆弱性がまあええやろってなったの、攻撃者が設定ファイルをどうこうできる前提だからじゃなかった？

[strawberryhunter]

「攻撃者がログ設定ファイルを変更できる権限を持った場合に」サーバがすでに乗っ取られてる状態だわ。脳死して 2.17.1 にアップデートしとけばいいんじゃないの。

[ysksy]

“攻撃者がログ設定ファイルを変更できる権限を持った場合” この攻撃者相手なら別方面でももっと悪さできるんじゃないの？

[shikiarai]

この前の脆弱性がデカ過ぎて過敏になってるがおそらくそこまででもないはず（読みたくない）

[hiroomi]

“影響があるのはLog4j 2系のバージョン2.17.0までの「log4j-core JAR」ファイルのみ”

[NOV1975]

「場合」のシチュエーションとかちゃんと提示してほしいよなあ

[dekasasaki]

実際の危険度より、もう話題になってしまっていることでバージョンアップは不可避だろうなー。いつまで続くんだろなあ。

[remonoil]

"攻撃者がログ設定ファイルを変更できる権限を持った場合" により致命的な他の攻撃は成立しないの？

[deep_one]

「攻撃者がログ設定ファイルを変更できる権限を持った場合」どんな権限だ？／コメントを見て。そうか。ログ設定ファイルのアクセス権が不適切かもしれんのだな。

[a96neko]

年明けに調査依頼で出そうだよな

[hiby]

あーあ

[momonga1123]

年明けにまた調査依頼が来るな 自分で調べてくれ

[Shinwiki]

“攻撃者がログ設定ファイルを変更できる権限を持った場合” まあそれ言ったら世の中のほぼ全部が脆弱性だな

[mitaro]

つらい日々がつづくのう……

[vesikukka]

ぉぃ

[buhoho]

年末やぞ！

[x100jp]

えらいこっちゃ。

[nmcli]

年の瀬にこういうの来ると超こわい

[misomico]

終わらない

[SUZUSHIRO]

ああもうめちゃくちゃだよ