Apache Log4j 2 でリモートコード実行の非常に深刻な脆弱性 (CVE-2021-44228) が見つかり、修正版の Log4j 2.15.0 が公開された(Apache Log4j Security Vulnerabilities、The Register の記事、LunaSec のブログ記事、The Verge の記事)。 この脆弱性はLog4j 2 の JNDI 機能が攻撃者に ...

Veracodeはこのほど、「State of Log4j Vulnerabilities: How Much Did Log4Shell Change?｜Veracode」において、Apache Log4jを使用するアプリケーションの約38%が現在も脆弱なバージョンのLog4jを使用していると伝えた。 State of Log4j Vulnerabilities: How Much Did ...

オープンソースのJavaロギングライブラリ「Apache Log4j 2.x（以下、Log4j 2）」に発見された脆弱性「CVE-2021-44228」の混乱が収まらない。開発元のApache Software Foundation（以下、ASF）は12月17日(米国時間)、この脆弱性から派生した新しい問題に対処するために最新版と ...

Webセキュリティ専門企業である株式会社セキュアスカイ・テクノロジー（東京都千代田区 代表取締役 大木 元 以下、SST）は、Apache Log4j の任意のコード実行の脆弱性[CVE-2021-44228]（以下、本脆弱性）の危険性および緊急性を踏まえ、被害を受ける可能性を感じ ...

「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。 さまざまなプロジェクトで広く使われているJava製のログ出力ライブラリ「Apache Log4j」に ...

Apache Log4j-core 2.17.0より前の2系のバージョンにおいて、自己参照による制御不能な再帰から保護されていないことに起因する、DoS攻撃（トラフィック増大によるサービス停止に陥らせる攻撃）が可能になる脆弱性が確認された。

米CISA（Cybersecurity and Infrastructure Security Agency ）やFBI（Federal Bureau of Investigation）、NSA（National Security Agency）、その他の関連機関は12月22日、Apache Log4j 2.x（以下、Log4j ...

株式会社ラックは20日、多くのJavaアプリケーションに使われているライブラリ「Apache Log4j」に関連した脆弱性を診断する無料サービスを、期間限定で提供すると発表した。12月24日18時まで受け付けており、自社の環境の安全性に不安のある企業のほか、対策 ...

Log4jは無料で利用できることもあり、広く普及している。無料であることにはトレードオフが伴う。保守管理を担う人は少ないかもしれない。有料の製品は通常、大規模なソフトウェア開発チームとセキュリティチームが運用を支えている。 影響を受ける ...

トレンドマイクロ株式会社は12月11日、「Apache Log4j」ライブラリに深刻なゼロデイ脆弱性が発覚したと同社ブログで発表した。影響を受けるシステムは下記の通り。 Apache Log4j 2.0-beta 9 から2.14.1. 同社によると米国時間2021年12月9日に、Apache Log4j2ログ出力 ...