「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開 - 窓の杜
Log4j – Apache Log4j Security Vulnerabilities
Apache Log4j2 versions 2.0-beta7 through 2.17.0 (excluding security fix releases 2.3.2 and 2.12.4) are vulnerable to a remote code execution (RCE) attack where an attacker with permission to modify the logging configuration file can construct a malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code. This issue is fixed by limiting JNDI data source names to the java protocol in Log4j2 versions 2.17.1, 2.12.4, and 2.3.2.
またRCE脆弱性が出てたのだけども、JDBC Appenderを利用していて、攻撃者がその設定を変更可能な場合のみなので、問題になるケースは少なそう。
対応する場合は、v2.17.1/v2.12.4/v2.3.2にアップデートする
Refactor to reuse existing code. · apache/logging-log4j2@05db5f9 · GitHub
↑の修正内容を見るに、JDBC AppenderではこれまでJndiManagerを通さずに直接JNDIのlookupメソッドを実行していたようだ。v2.16.0の修正でJndiManagerにまとめようとしていたはずなので、そこから漏れたのかな。
あと、プロパティにlog4j2.enableJndiJdbc(JDBC AppenderにおけるJNDIを有効にするかどうか)が追加されたようだ