ログファイルは、通常、サーバー、PC、アプリケーションが稼働し、ユーザーや管理者のログインなどの操作状況や、障害、不具合、警告などのアラート情報などを記録します。例えば、CentOSなどでは、/var/log/dmesg に、OS起動時にカーネルから出力されるメッセージが書き込まれます。そういったログを取得するツールをロギングユーティリティといいます。
Apache Log4j とは、Apache Commons Loggingインタフェースに基づく Javaプログラム用のロギングユーティリティのひとつです。
Log4j では、致命的なエラー、警告、デバッグ情報などを6つのログレベルでの出力を標準でサポートします。また、任意のログレベルを追加することも可能です。企業向けアプリケーション開発言語として、今なお高い人気を持つ Java で開発された数多くのアプリケーションは、標準的なロギングユーティリティとして、 Log4j を利用しています。
この Log4j の重大な脆弱性が2021年12月9日に発覚しました。この脆弱性は、国家が関与する集団、営利目的の攻撃者、愉快犯などさまざまな集団が悪用し、攻撃を重ねていることが伝えられています。
脆弱性を利用すると、攻撃者はサーバー上で任意のプログラムを実行させることができるため、影響は計り知れない状況です。
IPA(情報処理推進機構)や JPCERT コーディネーションセンターでは、脆弱性の発見方法や対策方法も調べることができるため、ぜひ確認して、対処してください。
| 参考リンク |
|
|---|