さくらのクラウドニュース

さくらのクラウドの最新情報や、開発に役立つ技術情報をお届けします。

おしらせ

Apache Log4jの任意のリモートコード実行の脆弱性 (CVE-2021-44228) に関するお願い

Javaで利用されるロギングライブラリのApache Log4jにて任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、脆弱性 (CVE-2021-44228) が存在することが判明いたしました。サーバ外部から本脆弱性を悪用することで任意のコードを実行することができます。

Apache Log4j の脆弱性については以下のURLを参考にしてください

JPCERT/CC Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

対象バージョン

対象となるバージョンは以下の通りです

・Apache Log4j 2.15.0 より古いバージョン(2系のみ)

お客様のアプリケーション内で、該当のバージョンのApache Log4jをお使いの場合は速やかに 2.15.0 以降へのアップデートをお願いします。

2021年12月16日追記

Apache Log4jのサービス運用妨害(Denial of Service, DoS)脆弱性(CVE-2021-45046)について追加で発表されています。

任意のリモートコードが実行できる脆弱性(CVE-2021-44228)およびサービス運用妨害脆弱性(CVE-2021-45046)に対応するため、2.16.0 以降(Java 8以降をお使いの場合)または2.12.2(Java 7をお使いの場合)へのアップデートをお願いします。

2021年12月20日追記

Apache Log4j 2.16.0以下のバージョンにて新たなサービス運用妨害脆弱性(CVE-2021-45105)が発表されております。Java 8以降をお使いの場合は本脆弱性に対応した 2.17.0 以降へのアップデートをお願いします。

Java 7をお使いの場合は以下のURLを参照し、対策を行ってください。
Log4j – Apache Log4j Security Vulnerabilities

アプリケーションへの影響

Apache Log4j はログを記録する目的で、様々なアプリケーションやソフトウェアで利用されています。

Javaによって構築されているアプリケーションをご利用の場合、開発元が公開する情報を参照し、必要な対策をお願いします。

代表的なアプリケーション/提供元の脆弱性情報

・Minecraft

Important Message: Security vulnerability in Java Edition | Minecraft

・Elastic(Elasticsearch/logstash等)

Apache Log4j2 Remote Code Execution (RCE) Vulnerability – CVE-2021-44228 – ESA-2021-31 – Security Announcements – Discuss the Elastic Stack

・Jenkins

Apache Log4j 2 vulnerability CVE-2021-44228

・Metabase

ump log4j from 2.14.1 to 2.15.0 (#19309) · metabase/metabase@8bfce98 · GitHub

さくらのクラウド 基盤システムへの影響

さくらのクラウドの基盤システム(バックエンドシステムのほか、コントロールパネル等のフロントエンドシステムも含みます)において、本脆弱性の影響を受ける製品は使用しておりません。

なお、さくらのクラウド以外の弊社提供各サービスへの影響については、【重要】Apache Log4j ライブラリの脆弱性における当社サービスへの影響についてを参照ください。

参考情報

・さくらのクラウドで提供するWAF「SiteGuard Server Edition」にて本脆弱性に関する情報がでております
 Apache Log4jの脆弱性(CVE-2021-44228)と「SiteGuardシリーズ」の対応

GitHub Restrict LDAP access via JNDI #608 – apache / logging-log4j2

・米LunaSecの報告: RCE 0-day exploit found in log4j2, a popular Java logging package

・さくらインターネット さくらのサポート情報: Minecraft Server(Java版) アップデートのお願い