トレンドマイクロ、「Log4j」の脆弱性について解説 | ScanNetSecurity
2024.05.24(金)

トレンドマイクロ、「Log4j」の脆弱性について解説

 トレンドマイクロ株式会社は12月23日、「Log4Shell」に続いて確認された「Log4j」の脆弱性についての解説を同社ブログに発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 トレンドマイクロ株式会社は12月23日、「Log4Shell」に続いて確認された「Log4j」の脆弱性についての解説を同社ブログに発表した。

 Apache Log4jで確認されたサービス拒否(DoS)攻撃に関連する脆弱性(CVE-2021-45105)は、「Log4Shell」(CVE-2021-44228)の直接的な亜種ではないが、同種の攻撃経路で攻撃者が制御するログ情報のLookup機能を悪用する点で類似している。

 Apache Log4jのAPIは、Lookupにおける変数の置換をサポートしており、細工された変数を用いることで制御不能な再帰的な置換により、アプリケーションをクラッシュさせることが可能となり、Lookupのコマンドを制御できる攻撃者が不正なLookup変数を細工し、DoS攻撃を引き起こすことができる。

 ブログでは「Log4j」の脆弱性について、コードの流れを示し解説、12月18日にApacheからリリースされた修正パッチの解析や脆弱性利用の実証も行っている。

 ブログでは最後に、「Log4j」の脆弱性の利用に関連する手法は現在大きく注目を集めており、修正パッチの有無にかかわらず、さらなる脆弱性が発見される可能性もあると注意を呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

    攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  2. Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]

    Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]PR

  3. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  4. 今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

    今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

  5. ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

    ジョイフル本田「THE GLOBE・OLD FRIEND オンラインショップ」に不正アクセス、3,958 件のカード情報漏えいの可能性

  6. アメリカでは「祖父母詐欺」

    アメリカでは「祖父母詐欺」

  7. サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

    サポート詐欺で発覚 ~ 産婦人科医師が不適切な状態で患者データ保管

  8. ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

    ペットフード取り扱いバイオフィリアに不正アクセス、顧客の個人情報が外部にダウンロード

  9. 実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

    実践的サイバー防御演習「CYDER」の 2024年度 申込受付開始、「プレCYDER」の受講対象者を拡大

  10. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

ランキングをもっと見る