「Log4j」に新たな脆弱性、深刻度は「High」 バージョン2.17.0へのアップデートを呼び掛けThe Apache Software Foundation(ASF)は12月17日(現地時間)、Java環境向けログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たにDoS(サービス拒否)攻撃できる脆弱性が見つかったため。脆弱性があるのは2.16.0までの2系バージョン。 この脆弱性に割り振られたCVE番号は「CVE-2021-45105」で、深刻度は「High」。CVSS(共通脆弱性評価システム)スコアは7.5。デフォルト以外の設定でログ出力を構成している場合、「Lookup」機能で再帰的に自己参照できてしまう恐れがあるという。その結果としてスタックオーバーフローによるプロセスの終了を引き起こすとしている。ASFは2.17.0へのバージョンアップとともに、影響を軽減するためのログ構成も案内している。 Log4jを巡っては、ログに含まれた任意のコードを実行し、
