Log4jの脆弱性

program

https://www.intellilink.co.jp/column/vulner/2021/121500.aspx
https://www.itmedia.co.jp/news/articles/2112/13/news139.html
Log4jApacheの提供するログ用ライブラリ。
「Log4Shell」と呼ばれる脆弱性により、リモートから任意コード実行される危険性がある。
「JNDI Lookup」というログの一部を日付等に置換する機能を利用した攻撃用なhttpリクエストを送ることで、サーバ側から攻撃者のLDAPへアクセスさせて任意コードのJavaClassファイルをダウンロード・実行させる。
log4j-core 2.14.1以下で発生する。