SBN New Log4j 1.x CVEs, and critical Chainsaw Vulnerability — What to Do?
2022/01/21 SecurityBoulevard — 今週になって、Apache は Log4j 1.x のバージョンに影響を与える、3つの脆弱性を公開した。Log4j 1.x は 2015年8月の時点で、いずれにしても end-of-life の製品であり、推奨されるアドバイスは、安全な log4j 2.x への移行である。しかし、これらの CVE 開示の中には、以下に分析する深刻な Apache Chainsaw の脆弱性が埋もれている。
簡単にまとめると、今週に公開された3つの CVE は、以下の通りとなる。
- CVE-2022-23307 [Sonatype:CVSS 9.8 / Critical] – リモートコード実行の脆弱性:デフォルトのインスタンスにも適用されるため、注目されている。この脆弱性は、Log4j 1.x に含まれる Chainsaw コンポーネントに潜んでいる。仮名の研究者 @kingkk によって報告された CVE-2022-23307 は、CVE-2020-9493 と同じ問題だが、Log4j 専用の新しい識別子が割り当てられている。CVE-2020-9493 (kingkk も報告) の修正ガイダンスには、 シリアライズされたログイベントを読むようには Chainsaw を設定せず、 代わりに XMLSocketReceiver などの、別のレシーバーを採用するべきだと、追加で記載されている。
- CVE-2022-23305 [Sonatype : CVSS 9.8 / Critical] – Log4j 1.x の JDBC Appender には SQL インジェクションの欠陥がある。この問題は、JDBCAppender を使用するようにコンフィグレーションされたバージョンに影響する。つまり、デフォルト以外のコンフィグレーションにのみ適用される。Log4j 1.2.x の JDBCAppender は、挿入される値が PatternLayout のコンバータであるような構成パラメータとして、SQL 文を受け入れるよう設計されている。そのため、攻撃者は、ログに記録されるアプリケーションの入力フィールドやヘッダーに、細工した文字列を入力して SQL を操作し、意図しない SQL クエリを実行できると、アドバイザリに記載されている。
すでに、Log4j 2 へのアップデートが提供され、さまざまなメディアを通じて、その適用が推奨されています。おそらく、可能な範囲で、出来ることは、すべてした・・・という状況だと思いますが、システムの深部で使用されている Log4j や、API の連携先で使用されている Log4j など、修正したくても出来ないというケースもあるのだろうと推測されます。心配の要素が、また増えてしまいましたね。→ Log4j まとめページ
IoT OT Security News 