We use some essential cookies to make our website work.

We use optional cookies, as detailed in our cookie policy, to remember your settings and understand how you use our website.

2 posts • Page 1 of 1
saitoib
Posts: 15
Joined: Sat Mar 11, 2017 8:56 am

Apache log4j

Sun Apr 03, 2022 8:17 am

Rabian Debian 10.9

Appache 2.4.38で、Webサーバーを稼働させています。
log4jの脆弱性の話題を見かけますが、Rasbianの場合、apt-get updateしておけば問題無いでのでしょうか?
wata
Posts: 17
Joined: Sun Oct 03, 2021 2:55 pm

Re: Apache log4j

Sun Apr 03, 2022 3:19 pm

自分は技術者でもなく、セキュリティー関係などはよくわかってませんが、なんとなく気になったので調べてみました。

Apache log4j という名前ですが、調べた感じでは Apache の脆弱性ではなく、Apache log4j という API の脆弱性だそうです。なので Apache のバージョンは関係ないと思います。かなり広範囲に渡る問題らしく、自分が使っている APC の UPS にも関係がありました。
Apache Log4j脆弱性に関するPowerChute Network Shutdownへの影響と7Zipによる対策について
https://www.apc.com/jp/ja/faqs/FAQ000229380/

他にも intel、AMD、Nvidia などが対応状況などを発表していました。
Intel、AMD、NVIDIAが「Apache Log4j」脆弱性(Log4Shell)の影響を公表
https://forest.watch.impress.co.jp/docs ... 74787.html

apc の説明や次のウェブサイトの説明を読むと log4j を使っているソフトウェアそれぞれで対応が必要そうな感じで書かれています。
Apache Log4jの脆弱性って何?(仕組み・リスク・対策について)
https://security.isid.co.jp/column/detail11/

多数のソフトウェアで構成されているシステム上ですべてのソフトウェアがこの API のどのバージョンを使っているかを確認することは不可能なんじゃないかと思います...。ざっくりとした対応の仕方、というか考え方みたいなのは次のウェブサイトで確認できます。
初心者でも分かるLog4jとその脆弱性、影響範囲から対策方法のすべて
https://www.pentasecurity.co.jp/pentapro/entry/log4J
2 posts • Page 1 of 1

Return to "日本語"

AltStyle によって変換されたページ (->オリジナル) /