簡単な方法で任意のプログラムを実行できてしまうとして12月10日ごろからIT系企業で騒動になっている、Apacheソフトウェア財団のJava向けログ出力ライブラリ「Apache Log4j」(Log4j)の脆弱性。
そんな中、“ワクチン”のようにこの脆弱性を修正するプログラムを、米情報セキュリティ企業Cybereasonが12月11日(日本時間)にGitHubで公開した。
Log4jには「JNDI Lookup」という機能があり、これを悪用すると外部のサーバに置いた任意のプログラムを標的に読み込ませ、実行させられる。
対策としては、JNDI Lookup機能を停止する必要がある。
Cybereasonが公開した修正プログラム「Logout4Shell」は、この脆弱性を使って「JNDI Lookup機能を停止させた状態でLog4jを再構築するプログラム」を実行させることで問題を修正するというもの。
同社は「この欠陥は致命的なものになる可能性がある」としてLogout4Shellを公開。
「有志で提供する物で、バグやエラーなどの欠陥が含まれる可能性がある。利用時にはデータの保護をするように」と注意書きをしている。
https://www.itmedia.co.jp/news/articles/2112/13/news125.html
