出版
アフィリエイトリンクまたはスポンサーシップを通じて、ベンダーから収益を得る場合があります。これにより、サイト上の商品配置が影響を受ける可能性がありますが、レビューの内容には影響しません。詳細は利用規約をご覧ください。
Log4jは深刻な脆弱性であり、IT業界全体に急速に広がっています。脆弱性のあるパッケージがインストールされているかどうかを確認するには、以下のコマンドを実行するだけでテストできます。
Log4jの脆弱性は深刻な問題です。このゼロデイ脆弱性はLog4jライブラリに影響を及ぼし、攻撃者がLog4jに依存してログメッセージを書き込むシステム上で任意のコードを実行できる可能性があります。
この脆弱性はCVSSスコアが10.0と最高値であるため、注意が必要です。大きな問題の一つは、脆弱性があるかどうかを把握することです。Log4jの導入方法が多岐にわたるため、これは複雑です。Javaプロジェクトの一部として使用していますか?コンテナに統合されていますか?ディストリビューションのパッケージマネージャーを使用してインストールしましたか?そして(もしそうなら)どのlog4jパッケージをインストールしましたか?それともソースコードからインストールしましたか?そのため、サーバーが脆弱かどうかさえわからない可能性があります。
幸いなことに、Linuxサーバー向けに、GitHubユーザーのRubo77が、脆弱なLog4jインスタンスを含むパッケージをチェックするスクリプトを作成しました。ベータ版で、100%の精度ではありませんが、出発点としては最適です。ただし、このスクリプトはアプリケーションにパッケージ化されたjarファイルをテストするものではないため、フォレンジック調査を開始するための出発点に過ぎないことをご了承ください。
参照: 知っておくべきオープンソースと Linux の用語 40 選 (TechRepublic Premium)
このスクリプトを、脆弱性のあるLog4jパッケージがインストールされていることが分かっているサーバーでテストしたところ、正しくタグ付けされました。同じスクリプトをLinuxサーバーで実行し、脆弱性があるかどうかを確認する方法は次のとおりです。サーバーにログインし、以下のコマンドを実行してください。
wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O - | bash
コマンドの出力から、サーバーに脆弱性があるかどうかが分かります。ご覧のとおり(図A)、私のインスタンスには脆弱性を含むliblog4j2-javaバージョン2.11.2-1が含まれています。この場合は、直ちに2.15.0にアップグレードする必要があります。もし2.15.0が利用できない場合、パッケージにパッチが適用されるまで問題は解決しません。
図A
このスクリプトは完全なセキュリティを保証するものではありませんが、良い出発点となることを覚えておいてください。サーバーに脆弱性がないと表示された場合でも、この脆弱性の影響を受けないように、必要なパッケージがすべて更新されていることを確認してください。
Jack Wallen によるビジネス プロフェッショナル向けの最新のテクノロジー アドバイスをすべて知るには、YouTube で TechRepublic の How To Make Tech Work を購読してください。
画像: Shutterstock/LeoWolfert
こちらもご覧ください
- サイバーセキュリティ:従業員を責めるのではなく、自分たちも解決策の一部であると感じさせる
- IBMのデジタルヘルスパスを支えるセキュリティとプライバシー
- サイバーセキュリティのプロになる方法:チートシート
- NIST サイバーセキュリティ フレームワーク: 専門家向けチートシート (無料 PDF)
- モバイルVPNアプリとは何か、なぜ使うべきなのか
- サイバーセキュリティとサイバー戦争:さらに必読の記事
ジャック・ウォーレン
ジャック・ウォーレンは、TechRepublic、The New Stack、Linux New Mediaなどで受賞歴のあるライターです。20年以上にわたり様々なトピックを執筆し、オープンソースの熱心な推進者でもあります。ジャック・ウォーレンに関する詳細は、ウェブサイトjackwallen.comをご覧ください。
