kledgeb UbuntuやLinuxの最新情報を紹介

Ubuntu 21.10 その48 - Apache Log4j2に任意コード実行の脆弱性(CVE-2021-44228)・Ubuntuの対応とアップデートのリリース

Apache Log4j2の脆弱性(CVE-2021-44228)

2021年12月9日、「Apache Log4j2」でリモートコードを実行可能な脆弱性情報が公開されました。


最新情報を入手するには

本脆弱性及び「Ubuntu」の対応に関する最新情報は、以下を参照してください。
今回紹介する内容は2021年12月17日時点の情報です。

  • Log4Shell

またアップストリームによる本脆弱性の説明は、以下を参照してください。

  • Apache Log4j Security Vulnerabilities

脆弱性の概要

構成やログメッセージ、及びパラメーターで使用される「Apache Log4j2」の「JNDI」機能が、細工された「LDAP」及びその他「JNDI」に関連するエンドポイントから適切に保護されていません。

「Apache Log4j2」のメッセージのルックアップ・置き換え機能が有効になっている環境では、攻撃者はログメッセージやログメッセージのパラメーターを細工することで、LDAPサーバーから任意のコードを読み込ませ、そのコードを実行することができます。

CVE

本脆弱性には脆弱性を一意に識別する以下の「CVE」が割り当てられています。

  • CVE-2021-44228

Ubuntuの対応

本脆弱性に対する「Ubuntu」の対応です。

影響を受けるUbuntuのバージョン

本脆弱性に影響を受ける「Ubuntu」のバージョンは以下のとおりです。

  • Ubuntu 21.10
  • Ubuntu 21.04
  • Ubuntu 20.04 LTS
  • Ubuntu 18.04 LTS
  • Ubuntu 16.04 ESM

Apache Log4j2 2.15.0で修正

アップストリームでは、本脆弱性を「Apache Log4j2 2.15.0」で修正しています。
「Ubuntu」では「Ubuntu」のバージョンにより、アップストリームのバージョンをベースに本脆弱性に対応するケースと、別の手段で本脆弱性に対応するケースに別れます。

Ubuntuのバージョン パッケージのバージョン
Ubuntu 21.10
 apache-log4j2 2.15.0-0.21.10.1
Ubuntu 21.04 apache-log4j2 2.15.0-0.21.04.1
Ubuntu 20.04 LTS
 apache-log4j2 2.15.0-0.20.04.1
Ubuntu 18.04 LTS apache-log4j2 2.10.0-2ubuntu0.1
Ubuntu 16.04 ESM apache-log4j2 2.4-2ubuntu0.1~esm1
Ubuntu 14.04 ESM 調査中

そのためパッケージバージョンだけを見て本脆弱性の対応の有無を判断することはできません。
上記にもあるように「Ubuntu 20.04 LTS」以降では「Apache Log4j2 2.15.0」をベースに本脆弱性に対応し、それ以外では別の手段で本脆弱性に対応しています。

アップデートのリリース

2021年12月14/15日、「Ubuntu 18.04 LTS」から「Ubuntu 21.10」向けに、本脆弱性に対応した「Apache Log4j2」がリリースされました。
詳細は以下を参照してください。

  • Apache Log4j2に任意コード実行の脆弱性(CVE-2021-44228)・Ubuntuの対応とアップデートのリリース
  • Apache Log4j2にDoSの脆弱性(CVE-2021-45046)・セキュリティーアップデートのリリース

「ソフトウェアの更新」等パッケージをアップデートするソフトウェアから「Apache Log4j2」をアップデートしてください。


バイナリーの互換性について

「Apache Log4j2 2.15.0」は以前のバージョンとバイナリー互換があると考えられているため、「Ubuntu 20.04 LTS」以降では本脆弱性の対応と共に「Apache Log4j2 2.15.0」へメジャーアップデートされました。

ただし「Ubuntu 18.04 LTS」では、大幅なメジャーアップデートは影響範囲が広く、リグレションのリスクを回避するため、影響を受ける以下のクラスを削除することで本脆弱性に対応しています。

  • java/org/apache/logging/log4j/core/lookup/JndiLookup

これにより「JNDI」のルックアップが無効化されます。

WAFによる緩和策の導入

以下で「WAF(Web Application Firewall)」による脆弱性の緩和策の導入が紹介されています。

  • Protection against CVE-2021-45046, the additional Log4j RCE vulnerability
  • CRS and Log4j / Log4Shell / CVE-2021-44228

apache-log4j1.2について

「apache-log4j1.2」は本脆弱性(CVE-2021-44228)に影響を受けません。
しかし類似した脆弱性があり、そちらは「CVE-2021-4104」として報告されています。
詳細は以下を参照してください。

  • CVE-2021-4104

Ubuntu
スポンサー
コメント
コメントポリシー
コメントをする前に UbuntuのCode of Conduct(CoC/行動規範) を確認し、CoCに沿ったコメントをお願いします。
コメントの使い方は、コメントの使い方を参照してください。
同一カテゴリーの記事
SNS
人気の記事
  • Ubuntu 22.04 その98 - 入力ソースとキーボートレイアウトと日本語入力のカスタマイズ
    入力ソースとキーボートレイアウトと日本語入力 「Ubuntu」ではユーザーが利用しているキーボードレイアウトや日本語入力のカスタマイズが可能です。
  • Ubuntu 22.04 LTSのインストール その5 - UEFI環境でパーティションの作成と構成 〜 ブートローダーのインストール先の選択
    UEFI環境でパーティションの作成と構成を行う UEFI環境でパーティションの作成と構成を行います。
  • Ubuntu 22.04 その120 - UbuntuのブートローダーをBoot Repairで修復するには・Ubuntuが起動しないトラブルを解決
    UbuntuのブートローダーをBoot Repairで修復するには 「Boot Repair」はOSのブートローダーに起因するOSが起動しない問題を簡単に解決してくれるアプリです。
  • Ubuntu 22.04 その79 - 画面ロックの有効・無効を設定するには・画面ロック時の設定をカスタマイズするには
    画面ロックの有効・無効を設定するには 一定時間ユーザーによる操作がない時に、自動的に画面をロックしパスワードで保護したり、画面をブランク状態にできます。
  • Ubuntu 22.04 その95 - ディスプレイサーバーを切り替えるには・XorgとWayland
    ディスプレイサーバーを切り替えるには 「Ubuntu」はデフォルトで2種類のディスプレイサーバーを提供しています。
  • VirtualBox その125 - ゲストOSのUbuntuにLinux Guest Additionsをインストールするには
    ゲストOSのUbuntuにLinux Guest Additionsをインストールするには 仮想マシンにインストールしたゲストOSの「Ubuntu」に、「Linux Guest Additions」をインストールする方法です。
  • .NET その165 - .NET Core 3.1.19がリリースされました・.NET Core 3.1をインストールするには
    .NET Core 3.1.19がリリースされました 2021年9月14日、「.NET Core 3.1.19」がリリースされました。
  • Ubuntuのバージョンと開発コードの対応表
    UbuntuのバージョンとUbuntuの開発コード 「Ubuntu」には各バージョンごとに開発コードが設定されます。
  • Ubuntu 22.04 その64 - Windows/Linux/macOSでUbuntu 22.04 LTSのライブUSBメモリーを作るには
    Ubuntu 22.04 LTSのライブUSBメモリーを作る方法 Windows/Linux/macOSでPC向け「Ubuntu 22.04 LTS」のライブUSBメモリーを作る方法を紹介します。
  • Ubuntu 22.04 その107 - ローカルネットワーク上でフォルダーやファイルを共有するには
    ローカルネットワーク上でフォルダーやファイルを共有するには 「ファイル(Nautilus)」アプリはファイルマネージャーです。 「ファイル」はローカルネットワーク上でフォルダーやファイルを共有する仕組みを提供しており、簡単に他のPCとフォルダーやファイルをやりとりできます。
記事のピックアップ
オプション