Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された (Apache Log4j Security Vulnerabilities、 The Register の記事、 LunaSec のブログ記事、 The Verge の記事)。

この脆弱性はLog4j 2 の JNDI 機能が攻撃者にコントロールされた LDAP やその他の JNDI 関連エンドポイントに対する保護を行わないというもので、Log4j 2.0-beta9 から 2.14.1 までのバージョンが影響を受ける。攻撃者は脆弱性のある Log4j 2 に特定の文字列をログとして記録させることで、LDAP サーバーから任意のコードを読み込んで実行させることが可能だ。この脆弱性を使用するエクスプロイトが既に公開されており、「Log4Shell」などと呼ばれている。

これについて あるAnonymous Coward 曰く、

Java のログ出力ライブラリ「Apache Log4j」にリモートコード実行 (RCE) の脆弱性が存在することが明らかになった。

この脆弱性を悪用するために特別な設定は不要で、「Apache Struts 2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと (窓の杜の記事)。

プログラムで Java を導入しているところは Log4j も入っているものと考えると影響は広範囲に及ぶものと見られ、GitHub では Apple、Steam、Minecraft などでの実証した画像が公開されている。

すべて読む | デベロッパーセクション | Java | デベロッパー |

関連ストーリー：
オープンソースソフトウェアの脆弱性、2019年は前年から50％近く増加したとの調査結果 2020年03月14日
Apache HTTP Serverに複数の脆弱性 2018年03月29日
影響範囲が広がるApache Struts2の脆弱性 2017年03月21日
Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 2017年03月11日
Apache Struts 2にリモートからの任意コード実行を許す脆弱性 2017年03月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
「Badlock」脆弱性の詳細が公開、誇大広告として批判される 2016年04月16日
glibcのgethostbyname系関数に脆弱性、「GHOST」と呼ばれる 2015年01月28日
OpenSSL、計8件の脆弱性を修正 2015年01月11日
2014年の教訓：サードパーティのライブラリには脆弱性がある 2015年01月05日
Gitに深刻な脆弱性、緊急メンテナンスリリースが公開される 2014年12月20日
SSL 3.0に深刻な脆弱性が見つかる 2014年10月15日
プロジェクトのリソース不足がオープンソースソフトウェアの脆弱性を生む？ 2014年05月05日
OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される 2014年04月08日