「Apache Log4j」に存在する脆弱性に対して各企業が注意喚起、Heartbleedと同レベルの深刻度の可能性も
2021年12月14日(火)
Apache Log4jにリモートコード実行の脆弱性が発見された(CVE-2021-44228)。深刻度は最高の「Critical(緊急)」だが、MicrosoftやGoogleなどのベンダーが一斉に注意喚起を発表しており、深刻度は「Heartbleedと同レベルの可能性」「直近10年で1、2を争う可能性」もあるという。
影響を受けるとされるのは「Apache Log4j 2.0-beta9から2.14.1までのバージョン」であり、「Apache Log4j 2.15.0」でこの脆弱性が修正されている。
この脆弱性が重要視されている理由として、ログ機能に「Log4j」を採用しているシステムが通常のPCのみならず、さまざまな分野に渡って大量に存在している点が指摘されている。悪用されると、リモートから簡単に悪用できてしまうというものでもあり、システム管理者は注意が必要。
影響を受けるシステムは非常に広範囲にわたると見られており、また、この脆弱性の悪用を試みる動きも観測されているという。管理者は、今後の情報に逐次注意を払う必要がある。
(川原 龍人/びぎねっと)
[関連リンク]
ASFの発表
米国担当部局の発表
Googleの注意喚起
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。