【概要】
■Apache Log4j バージョン 1
- バージョン 1 にはLookup機能が含まれておらず、「JMS Appender」という機能が有効であってもこの脆弱性の影響は受けない
■脆弱な機能
- JNDI lookup機能
- ログとして記録された文字列を加工してランタイムに出力する役割を持つ
■悪用方法
- 攻撃対象のサービスやアプリに対し、細工を施した文字列を遠隔地から送信するだけで、指定の場所からプログラムをダウンロードして実行させることが可能
【ニュース】
◆世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説 (ITmedia, 2021/12/13 16:40)
https://www.itmedia.co.jp/news/articles/2112/13/news139.html
