こんにちは。「クロジカサーバー管理」コンサルティングチームの金子です。
2021年12月11日にApache Log4jに関する緊急度の高い脆弱性が公開されました。通称「Log4Shell」と名称がついた脆弱性です。サーバー上で任意のコードが実行できるため、至急バージョンアップ等の対応することが推奨されています。本記事では、Log4jの概要と対策が必要となるバージョン、Webサイトへの影響を説明していきます。
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(JPCERT)
目次
脆弱性の対象となるLog4jのバージョン
Apache Log4jは、主にJavaで開発されたシステムのログを出力するライブラリーとして利用されています。今回の脆弱性の対象となるApache Log4jのバージョンは以下となります。
- Apache Log4j-core 2.15.0より前の2系のバージョン
なお、既にサポートが切れているApache Log4j 1系のバージョンではこの脆弱性の影響を受けません。
Webサイトへの影響について
Javaで開発したシステムが多く影響を受けることは明白です。一方で、WordPressやMovableTypeなどCMSで構築されたWebサイトへの影響はどうなっているでしょうか。いくつかCMSとその影響をご案内させていただきます。
WordPressへの影響
WordPressはPHPで開発されており、Javaは用いていないため影響を受けません。
MovableTypeへの影響
MovableTypeはPerlやPHPで開発されており、Javaは用いていないため影響を受けません。
WebRelease2への影響
有償CMSのWebRelease2はJavaを用いていますが、Log4jを使用しておらず影響を受けません。WebRelease2開発元からの公式アナウンスも発表されています。
PowerCMSへの影響
有償CMSのPowerCMSはPerlやPHPで開発されており、Javaは用いていないため影響を受けません。
脆弱性有無の確認方法
詳細な手順は環境により異なりますためエンジニアへの確認を推奨します。確認方針としては、サーバーにログインしてJavaのプロセスが稼働しているかを確認します。Javaのプロセスが動いている場合には、ログを保存するためにLog4jを利用している可能性があります。そして、サーバー内にLog4jのライブラリが有無を検索して確認します。もし見つかった場合は、バージョンの確認とシステムが利用しているかを確認していきます。
さいごに
基本的にはJavaで開発したシステムでなければLog4jを利用していることはほとんどありません。しかし、サーバー内にサブシステムが含まれている場合は、確認をしておくことをおすすめします。また、セキュリティソフト等のパッケージソフトを導入している際は、その対応可否の確認も重要です。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
