Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理
こんにちは、丸山満彦です。
2021年11月24日にAlibabaのクラウドセキュリティチームによってApacheに開示され、2021年12月9日に公開されたApache Log4j 2 の脆弱性の問題は、影響が大きいですよね。。。多くのソフトウェアで使われている可能性があるので、棚卸から始めなければならないでしょうね。。。で、見つかったら修正していく。。。できる範囲で。。。
利用されているソフトウェアの内容の理解というのは重要になってくるだろうなと改めて感じました。SBOMが重要なのかもしれません。。。
また、このような脆弱性情報が特定の人、組織のみに握られている状況というのも非常に良くないでしょうね。。。もちろん、攻撃の機会を与えるという意見もあるでしょうが、これから本当におそれることは、強い実行力をもった攻撃組織がその脆弱性情報を独占している状況なのかもしれません。。。
情報について
・Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0
米国
● CISA
・2021.12.11 STATEMENT FROM CISA DIRECTOR EASTERLY ON “LOG4J” VULNERABILITY
● NIST - ITL - NATIONAL VULNERABILITY DATABASE
・2021.12.10 CVE-2021-44228 Detail
● MITRE - CVE
中国
・2021.12.10 关于Apache Log4j2存在远程代码执行漏洞的安全公告
日本
・2021.12.11 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
・2021.12.12 Apache Log4jの任意のコード実行の脆弱性に関する緊急注意喚起 CVE-2021-44228 CVSS深刻度評価 10(最高)
(2021.12.15追記↓)
● IPA
・2021.12.14 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)
・2021.12.11 Apache Log4j 2 CVE-2021-44228 by JUSTIN CORMACK
● piyolog
・2021.12.13 Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開
・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...
« 中国 第14次5カ年計画 デジタル経済開発計画 | Main | アイルランド 公的病院を運営している保険サービスエグゼクティブ ランサムウェアに感染した経験を踏まえた報告書 by PwC を公開 »
Comments