- 115 名前:login:Penguin mailto:sage [2021/12/25(土) 23:42:21.08 ID:xy41Jf5n.net]
- >>115
セキュリティ脆弱性を防ぐには?
公式発表によると、Apacheは、Log4j v2.15.0で初期パッチをリリースし、攻撃者による任意のコードの実行を防止しています。
『設定、ログメッセージ、パラメータで使用されるJNDI機能は、攻撃者が制御するLDAPや他のJNDI関連エンドポイントから保護されていません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合、LDAP サーバから読み込んだ任意のコードを実行することができます。log4j 2.15.0 からは、この動作はデフォルトで無効化されています。』
また、Sophosのようなサイバーセキュリティ企業が、サーバー(LinuxとWindows上)でこの脆弱性をテストしたり、検出や緩和、パッチするためのブログ記事をアップしているのを見つけることができます。
最近、Apache は Log4j の更新を行い、この脆弱性の原因となる動作を無効にし、リモートの攻撃者があなたのサーバーでコードを実行できないようにしました。
|
 |
