Apache Log4jの脆弱性に関して、KARTEにおける対応状況をまとめました。

Apache Log4jの脆弱性とは?

下記の参考記事などをご覧ください。

Apache Log4j の脆弱性対策について(CVE-2021-44228):IPA 独立行政法人 情報処理推進機構

KARTEで実施した対応

概要

  • KARTEのコードベースの一部で、脆弱性が確認されたバージョンのApache Log4jに依存している箇所がありました
  • 脆弱性を利用した攻撃ができないよう早急に対応を行い、また実際に攻撃の被害があったかどうかを調査しました

対象となる主な機能

  • イベントトラッキングなど外部からのリクエストを受け付ける機能
  • データベースに存在しているデータを処理する機能

実施した対応

  • 脆弱性が確認されたLog4jのバージョンを、2.15.0以上にアップデートしました
  • Log4jのLookup機能を無効化しました

攻撃の被害について

  • 2021年12月14日時点で、攻撃の被害は確認できませんでした
  • 新たに発見された次の脆弱性についても、攻撃可能な条件には該当していないことがわかりました
    • CVE-2021-45046
    • CVE-2021-45105

対応の流れ

  • 2021年12月10日
    • Log4jの脆弱性を認識し、修正箇所の調査を開始しました
  • 2021年12月11日
    • Log4jを利用していると認識済みの全ての機能で、上記の対応を実施しました
    • Log4jの脆弱性を利用した実際の攻撃被害があるかどうかの調査を開始しました
  • 2021年12月14日
    • Log4jの脆弱性を利用した実際の攻撃被害があるかどうかの調査を完了しました