勉強前イメージ
apacheくらいしかしらない・・・
脆弱性で話題
調査
log4jとは
正式にはApache log4j といい、オープンソースのJavaプログラム用のロギングAPIになります。
プログラムが正しく動作してるかを確認するために、
規模が大きくなればデバッグツールやロギングツールを使ってプログラムの流れを確認します。
Apacheのサブプロジェクトで、Apache Loggingプロジェクトで開発が進められています。
元々はApache関係なかったですが合流することになったようです。
Java以外の言語でもサポートされているものはあり、PerlやRuby、pythonなどがあります。
脆弱性について
JavaにはJNDI(Java Naming and Directory Interface)という
アプリケーションがDNSや LDAP を利用するためのライブラリがあります。
Log4jの機能としてJNDI Lookupがあり、それが悪用されています。
対象としてはインターネットに接続されているものすべてが対象になります。
脆弱性についてはJNDI Lookupの機能で、
ログとして記録された文字列を加工して出力する役割があり、
それを悪用すれば対象サービスに対して文字列を送るだけでプログラムをダウンロード・実行させることができます。
ログを読ませるだけなので認証等もありません。
サーバだけじゃなく、ネットワーク機器もLog4jのライブラリを使ってる可能性があるので確認が必要です。