2021/12/29
Apache Log4jのRCE(リモートコード実行)の脆弱性について、新たな脆弱性が発見されCVE-2021-44832として公開されています。
Apache Log4j2 バージョン 2.0-beta7 から 2.17.0 (セキュリティフィックスリリース 2.3.2 と 2.12.4 を除く) には、リモートコード実行 (RCE) 攻撃の脆弱性があり、ロギング設定ファイルを変更する権限を持つ攻撃者が、JNDI URI を参照するデータソースを使って JDBC Appender で不正な設定を行い、リモートコードを実行できるようになってしまいます。この問題は、Log4j2 のバージョン 2.17.1, 2.12.4, 2.3.2 において、JNDI データソース名を java プロトコルに制限することで修正されます。
Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.17.1 (Java 8)
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.1
JobScheduler V.1.13.10, V.2.2.0以降では設定ファイルlog4j2.xmlのデフォルト設定から、JDBC Appenderを使用するよう変更していない限り、CVE-2021-42832の影響を受ける可能性はないと考えていますが、下記が公開されましたのでご確認ください。
Update log4j2 2.17.1 to 2.17.1 due to 3rd party vulnerability issue in log4j2 2.17.0 (CVE-2021-44832)
https://change.sos-berlin.com/browse/JOC-1192?src=confmacro