てきとうなメモ

本の感想とか技術メモとか

log4j2の脆弱性(CVE-2021-44832)

「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開 - 窓の杜

Log4j – Apache Log4j Security Vulnerabilities

Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remote code execution (RCE) attack where an attacker with permission to modify the logging configuration file can construct a malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code. This issue is fixed by limiting JNDI data source names to the java protocol in Log4j2 versions 2.17.1, 2.12.4, and 2.3.2.

またRCE脆弱性が出てたのだけども、JDBC Appenderを利用していて、攻撃者がその設定を変更可能な場合のみなので、問題になるケースは少なそう。

対応する場合は、v2.17.1/v2.12.4/v2.3.2にアップデートする

Refactor to reuse existing code. · apache/logging-log4j2@05db5f9 · GitHub

↑の修正内容を見るに、JDBC AppenderではこれまでJndiManagerを通さずに直接JNDIのlookupメソッドを実行していたようだ。v2.16.0の修正でJndiManagerにまとめようとしていたはずなので、そこから漏れたのかな。

あと、プロパティにlog4j2.enableJndiJdbc(JDBC AppenderにおけるJNDIを有効にするかどうか)が追加されたようだ