« 中国 第14次5カ年計画 デジタル経済開発計画 | Main | アイルランド 公的病院を運営している保険サービスエグゼクティブ ランサムウェアに感染した経験を踏まえた報告書 by PwC を公開 »

2021.12.13

Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

こんにちは、丸山満彦です。

2021年11月24日にAlibabaのクラウドセキュリティチームによってApacheに開示され、2021年12月9日に公開されたApache Log4j 2 の脆弱性の問題は、影響が大きいですよね。。。多くのソフトウェアで使われている可能性があるので、棚卸から始めなければならないでしょうね。。。で、見つかったら修正していく。。。できる範囲で。。。

利用されているソフトウェアの内容の理解というのは重要になってくるだろうなと改めて感じました。SBOMが重要なのかもしれません。。。

また、このような脆弱性情報が特定の人、組織のみに握られている状況というのも非常に良くないでしょうね。。。もちろん、攻撃の機会を与えるという意見もあるでしょうが、これから本当におそれることは、強い実行力をもった攻撃組織がその脆弱性情報を独占している状況なのかもしれません。。。

 

情報について

Logging Apache

Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0

Logo_20211213065101

 


米国

CISA

・2021.12.11 STATEMENT FROM CISA DIRECTOR EASTERLY ON “LOG4J” VULNERABILITY

NIST - ITL - NATIONAL VULNERABILITY DATABASE

・2021.12.10 CVE-2021-44228 Detail

● MITRE - CVE

CVE-2021-44228

 

中国

国家计算机网络应急技术处理协调中心 CNCERT/CC

・2021.12.10 关于Apache Log4j2存在远程代码执行漏洞的安全公告

日本

JPCERT/CC

・2021.12.11 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

Software-ISAC

・2021.12.12 Apache Log4jの任意のコード実行の脆弱性に関する緊急注意喚起 CVE-2021-44228 CVSS深刻度評価 10(最高)

(2021.12.15追記↓)

IPA

・2021.12.14 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)


 

docker Blog

・2021.12.11 Apache Log4j 2 CVE-2021-44228 by

 

piyolog

・2021.12.13 Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた



 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

|

« 中国 第14次5カ年計画 デジタル経済開発計画 | Main | アイルランド 公的病院を運営している保険サービスエグゼクティブ ランサムウェアに感染した経験を踏まえた報告書 by PwC を公開 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 第14次5カ年計画 デジタル経済開発計画 | Main | アイルランド 公的病院を運営している保険サービスエグゼクティブ ランサムウェアに感染した経験を踏まえた報告書 by PwC を公開 »