はじめに この記事は、Flatt Security サマーインターン in 2023 に参加した際に、log4j の任意コード実行脆弱性(CVE-2021-44228)について調査した際のレポートです。 このレポートをサマーインターンの応募課題として提出しました。 もともとは参加体験記の記事に含める予定でしたが、長くなりすぎたため、別記事として投稿することにしました。 読みやすいように、独自でセクションを分けています。 間違い等あれば、コメントで教えていただけると幸いです。 概要 私が興味のある脆弱性は、log4shell です。 CVE 番号は CVE-2021-44228 です。 以下に、JVN のリンクを示します。 この脆弱性は、Apache log4j と呼ばれる Java 向けのロギングプログラムに存在した脆弱性です。このプログラムが動作しているサーバに特殊なリクエストを送信する
![log4shell 調査レポート in Flatt Security 応募課題](https://cdn-ak-scissors.b.st-hatena.com/image/square/c3240d49bfbe1464a6b33fad579e18fef6aaf569/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--h0jo6igr--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3Alog4shell%252520%2525E8%2525AA%2525BF%2525E6%25259F%2525BB%2525E3%252583%2525AC%2525E3%252583%25259D%2525E3%252583%2525BC%2525E3%252583%252588%252520in%252520Flatt%252520Security%252520%2525E5%2525BF%25259C%2525E5%25258B%25259F%2525E8%2525AA%2525B2%2525E9%2525A1%25258C%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Acalloc134%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzM0MGU4NGU1YjEuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)