Apache Software Foundationは2021年12月28日(米国時間)、「Log4j - Apache Log4j Security Vulnerabilities」において、脆弱性を修正したLog4jの最新バージョンの公開を伝えた。通称「Log4Shell」と呼ばれる脆弱性が公表されてから、Log4jには脆弱性の発見が相次いでいる。
脆弱性は「CVE-2021-44832」と位置づけられている。これはロギング設定ファイルを変更する権限を持つ攻撃者が不正な設定を行うことによってリモートからコード実行が可能になるというもの。脆弱性の深刻度はスコア6.6で警告(Moderate)と評価されている。
脆弱性が存在するプロダクトおよびバージョンは次のとおり。
- Apache Log4j 2.0-alpha7から2.17.0までのバージョン(2.3.2および2.12.4を除く)
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache Log4j version 2.17.1 (Java 8)
- Apache Log4j version 2.12.4 (Java 7)
- Apache Log4j version 2.3.2 (Java 6)
Apache Log4jは2021年12月に複数の脆弱性が発表され、問題を修正したバージョンのリリースが相次いでいる。既にLog4jをアップデートした場合も、再度バージョンおよび発表された内容を確認し、問題が修正された最新バージョンへアップデートすることが望まれる。