はじめに この記事は、Flatt Security サマーインターン in 2023 に参加した際に、log4j の任意コード実行脆弱性(CVE-2021-44228)について調査した際のレポートです。 このレポートをサマーインターンの応募課題として提出しました。 もともとは参加体験記の記事に含める予定でしたが、長くなりすぎたため、別記事として投稿することにしました。 読みやすいように、独自でセクションを分けています。 間違い等あれば、コメントで教えていただけると幸いです。 概要 私が興味のある脆弱性は、log4shell です。 CVE 番号は CVE-2021-44228 です。 以下に、JVN のリンクを示します。 この脆弱性は、Apache log4j と呼ばれる Java 向けのロギングプログラムに存在した脆弱性です。このプログラムが動作しているサーバに特殊なリクエストを送信する