HIRT-PUB21001：Apache Log4jの脆弱性

更新日: 2022年01月05日

Apache Log4jに複数の脆弱性が報告されました。

CVE-2021-44832: リモートコード実行を許してしまう脆弱性
ロギング設定ファイルの変更権限を持つ攻撃者がJDBC Appenderを使用することで、リモートからの任意のコード実行を許してしまう。

CVE-2021-45105: サービス不能攻撃を許してしまう脆弱性
再帰的なルックアップの検証不備に起因して、サービス不能攻撃を許してしまう。

CVE-2021-45046: コード実行を許してしまう脆弱性

デフォルト以外のパターンレイアウトを使用する場合に、スレッドコンテキストマップ入力値の検証不備に起因して、任意のコード実行を許してしまう。

CVE-2021-44228: リモートコード実行を許してしまう脆弱性
LDAPなどのJNDI(Java Naming and Directory Interface)インタフェース入力値の検証不備に起因して、任意のコード実行を許してしまう。

2021年12月28日

hitachi-sec-2021-225 : UPS製品におけるLog4jの脆弱性(CVE-2021-44228他)について
hitachi-sec-2021-226 : エンタープライズサーバEP8000シリーズ製品におけるLog4jの脆弱性(CVE-2021-44228他)について
hitachi-sec-2021-315 : 日立ディスクアレイシステムにおけるSVPのApache Log4j2の脆弱性(CVE-2021-44228)について

2021年12月17日

hitachi-sec-2021-145 : JP1/VERITAS製品における脆弱性
hitachi-sec-2021-146 : Hitachi Device Manager, Hitachi Infrastructure Analytics Advisor, Hitachi Automation Director, Hitachi Ops Center Analyzer, Hitachi Ops Center AutomatorおよびHitachi Ops Center Administratorにおける脆弱性
hitachi-sec-2021-147 : Hitachi Storage Plug-in for VMware vCenterにおける脆弱性

2021年12月14日

Hitachi ID Systems : Log4j Threat Alert

2021年12月10日

Hitachi Vantara : Security Vulnerabilities in Apache Log4j Library (CVE-2021-44228, CVE-2021-45046 and CVE-2021-45105)

The Apache Software Foundation
Apache Log4j Security Vulnerabilities
https://logging.apache.org/log4j/2.x/security.html

JPCERT/CC

JPCERT-AT-2021-0050：Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html

IPA

Apache Log4j の脆弱性対策について(CVE-2021-44228)
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

警察庁 ＠police

Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html

担当：寺田、大西