Log4Shellとは？ わかりやすく解説

ウィキペディア

Log4Shell

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2022/07/22 04:37 UTC 版)

Log4Shell（別名CVE-2021-44228）は、よく使われているJavaログフレームワーク（英語版）のLog4jで発見されたゼロデイの任意コード実行脆弱性である^[2][3]。この脆弱性は、2021年11月24日にAlibabaのクラウドセキュリティチームによって秘密裏にApacheに報告され、2021年12月9日に一般に公開された^[1][4][5]。

出典

1. ^ ^{a b} “Log4Shell Vulnerability is the Coal in our Stocking for 2021” (英語). McAfee (2021年12月10日). 2021年12月12日閲覧。
2. ^ ^{a b} “Log4Shell: RCE 0-day exploit found in log4j 2, a popular Java logging package” (英語). www.lunasec.io (2021年12月9日). 2021年12月12日閲覧。
3. ^ “CVE - CVE-2021-44228”. cve.mitre.org. 2021年12月12日閲覧。
4. ^ “Worst Apache Log4j RCE Zero day Dropped on Internet”. www.cyberkendra.com (2021年12月9日). 2021年12月12日閲覧。
5. ^ ^{a b c} Newman, Lily Hay. “‘The Internet Is on Fire’” (英語). Wired. ISSN 1059-1028. https://www.wired.com/story/log4j-flaw-hacking-internet/ 2021年12月12日閲覧。 
6. ^ “Update for Apache Log4j2 Issue (CVE-2021-44228)”. aws.amazon.com (2021年12月12日). 2021年12月13日閲覧。
7. ^ “Security Vulnerability in Minecraft: Java Edition”. Mojang Studios. 2021年12月13日閲覧。
8. ^ “Countless Servers Are Vulnerable to Apache Log4j Zero-Day Exploit” (英語). PC Magazine. 2021年12月12日閲覧。
9. ^ Goodin (2021年12月10日). “The Internet's biggest players are all affected by critical Log4Shell 0-day”. ArsTechnica. 2021年12月13日閲覧。
10. ^ Press (2021年12月11日). “Recently uncovered software flaw ‘most critical vulnerability of the last decade’” (英語). The Guardian. 2021年12月12日閲覧。
11. ^ ^{a b c} “Log4j – Apache Log4j Security Vulnerabilities”. logging.apache.org. 2021年12月12日閲覧。
12. ^ “Log4j – Apache Log4j 2”. logging.apache.org. 2021年12月12日閲覧。
13. ^ Network Working Group (2006年6月). “RFC 4511: Lightweight Directory Access Protocol (LDAP)”. International Electronic Task Force. 2021年12月13日閲覧。
14. ^ ^{a b c d} Graham-Cumming (2021年12月10日). “Inside the Log4j2 vulnerability (CVE-2021-44228)” (英語). The Cloudflare Blog. 2021年12月13日閲覧。
15. ^ “Lookups”. Apache Logging Services. Apache Software Foundation (2021年12月6日). 2021年12月13日閲覧。
16. ^ ^{a b} Ducklin (2021年12月12日). “Log4Shell explained – how it works, why you need to know, and how to fix it”. Naked Security. Sophos. 2021年12月12日閲覧。
17. ^ Miessler (2021年12月13日). “The log4j (Log4Shell) Situation”. 2021年12月12日閲覧。
18. ^ Gabor. “CVE-2021-44228 - Log4j RCE 0-day mitigation”. The Cloudflare Blog. 2021年12月13日閲覧。
19. ^ Hahad (2021年12月12日). “Apache Log4j Vulnerability CVE-2021-44228 Raises widespread Concerns”. 2021年12月12日閲覧。
20. ^ Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 - JPCERT/CC・2021年12月13日
21. ^ “Restrict LDAP access via JNDI by rgoers - Pull Request #608 - apache/logging-log4j2” (英語). GitHub (2021年12月5日). 2021年12月12日閲覧。
22. ^ “LOG4J2-3198: Log4j2 no longer formats lookups in messages by default” (英語). GitHub (2021年12月5日). 2021年12月14日閲覧。
23. ^ Goodin (2021年12月10日). “Zero-day in ubiquitous Log4j tool poses a grave threat to the Internet” (英語). Ars Technica. 2021年12月12日閲覧。
24. ^ “LOG4J2-3208: Disable JNDI by default”. issues.apache.org (2021年12月11日). 2021年12月14日閲覧。
25. ^ “Java(TM) SE Development Kit 8, Update 121 (JDK 8u121) Release Notes” (英語). Oracle (2017年1月17日). 2021年12月13日閲覧。
26. ^ “Guide: How To Detect and Mitigate the Log4Shell Vulnerability (CVE-2021-44228)” (英語). www.lunasec.io (2021年12月13日). 2021年12月13日閲覧。
27. ^ “STATEMENT FROM CISA DIRECTOR EASTERLY ON "LOG4J" VULNERABILITY”. CISA (2021年12月11日). 2021年12月14日閲覧。
28. ^ “Statement from the Minister of National Defence on Apache Vulnerability and Call to Canadian Organizations to Take Urgent Action” (英語). Government of Canada (2021年12月12日). 2021年12月14日閲覧。
29. ^ “BSI warnt vor Sicherheitslücke”. Tagesschau (2021年12月12日). 2021年12月14日閲覧。
30. ^ “Warnstufe Rot: Schwachstelle Log4Shell führt zu extrem kritischer Bedrohungslage” (ドイツ語). BSI press service (2021年12月12日). 2021年12月14日閲覧。
31. ^ Duckett. “Log4j RCE activity began on December 1 as botnets start using vulnerability” (英語). ZDNet. 2021年12月13日閲覧。
32. ^ “Apache Log4j RCE Attempts”. www.greynoise.io. 2021年12月12日閲覧。
33. ^ “Facing cybersecurity threats, Quebec shuts down government websites for evaluation”. CBC News. (2021年12月12日). https://www.cbc.ca/news/canada/montreal/quebec-cybersecurity-threat-government-website-1.6283133 2021年12月12日閲覧。 
34. ^ “Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation”. CISA. 2021年12月12日閲覧。