抄録/ポイント:
抄録/ポイント
文献の概要を数百字程度の日本語でまとめたものです。
部分表示の続きは、JDreamⅢ(有料)でご覧頂けます。
J-GLOBALでは書誌(タイトル、著者名等)登載から半年以上経過後に表示されますが、医療系文献の場合はMyJ-GLOBALでのログインが必要です。
・JavaアプリケーションのためのログライブラリApache Log4jは非常に多くのアプリケーションやライブラリ,フレームワークに利用されており,2.x系(Log4j2)に見つかった脆弱性(Log4Shell)を解説。
・原因はLog4j2で提供されているJNDI(Java Naming Directory Interface) Lookupであり,JNDIはLDAP(Lightweight Directory Access Protocol)プロトコルをサポート。
・ログとして出力される文字列に外部のサーバから読み込んだオブジェクトが出力する値を埋め込めるので,第三者が悪意のあるコードを対象のアプリケーションに送り込むことが可能。
・複数の別のフレームワークやライブラリを組み合わせて利用しているJavaアプリケーションでは依存関係によって間接的に脆弱性の影響を受け,ロガー部分のパッケージlog4j-coreが含まれないことの確認が必要。
・一次的な緩和策として2.1.6.0以外ではアプリケーションのクラスパスからJndiLookupクラスのファイルを削除,2.1.6.0では構成ファイルでContext Lookupの設定を置き換えることが有効。