For information in English, please see at the bottom of this message.
2021年12月14日
教職員各位
[緊急] Apache Log4j の重大な脆弱性について
この重大な脆弱性への対応として,サーバ管理者または業務システム運用部署は
速やかに次のことを実施してください。
各研究室/各部署で運用している全サーバと全業務システムについて,
1. Apache Log4jの脆弱性に該当しているか否かを確認する。
2. 該当している場合は脆弱性の解消を実施する。
-----------------
概要説明:
Apache Log4j は,Apache Software Foundation がオープンソースで提供してい
る Java ベースのロギングライブラリです。この Apache Log4j はとても広範に
使用されていますが,このライブラリに遠隔の第三者が細工したデータを送る事
で,任意のコマンドを実行される重大な脆弱性が発見されました。そして,この
脆弱性を突く攻撃が非常に容易であることと相まって,サーバのセキュリティ維
持にとって10年に一度とも言えるほど非常に深刻な事態となっています。
本学でもすでにこの脆弱性を使った攻撃が確認されています。
この脆弱性の影響を受ける恐れのあるシステムは広範囲に及びます。特に,Web
サーバ等の外部に公開しているサーバについては最優先で対処する必要がありま
す。また,学内の業務システムについてもこの脆弱性の影響を受け個人情報漏洩
等の恐れもありますので確認が必要です。
つきましては,研究室で運用しているサーバについては脆弱性の有無を確認し,
該当する場合は脆弱性の解消を速やかに行ってください。また,業務システムに
ついては,運用部署において開発業者や保守業者に脆弱性の該当有無を確認し,
該当する場合には必要な措置を速やかに実施させてください。
参考:
Apache Log4j の脆弱性対策について(CVE-2021-44228)
jvn.jp/vu/JVNVU96768815/
www.ipa.go.jp/security/ciadr/vul/alert20211213.html
www.jpcert.or.jp/at/2021/at210050.html
ログソフトに深刻な脆弱性 IPA 早急な対策呼びかけ
www3.nhk.or.jp/news/html/20211214/k10013387051000.html
Apache Log4jに深刻な脆弱性,IT各社が調査対応を開始
japan.zdnet.com/article/35180746/
------------------
14th, Dec. 2021
To all faculty and staff:
[Urgent] Serious Vulnerability in Apache Log4j
As measures to this serious vulnerability, server administrators have to
immediately implement the following actions for all servers in each
laboratory.
- Check whether every server has the Apache Log4j vulnerability or not.
- Fix the vulnerability if it is found.
Apache Log4j is a Java-based open-source logging library provided by the
Apache Software Foundation. Apache Log4j is very widely used, but a
serious vulnerability has been discovered in the library. This
vulnerability can be easily used, and a remote attacker can execute
arbitrary commands on servers with vulnerable Apache Log4j. This
vulnerability is a once-in-a-decade problem for maintaining server
security. JAIST-CSIRT has already observed attempts to attack servers in
JAIST using this vulnerability.
Therefore, please immediately check whether every server in your
laboratory has the vulnerability or not, and fix vulnerable ones if such
exist. It is feared that there are many systems that can be affected by
this vulnerability. In particular, servers that are accessible to the
public (e.g., web servers) need to be taken measures to the
vulnerability with the highest priority for preventing information
leakage, etc.
Reference:
Vulnerability Countermeasures for Apache Log4j (CVE-2021-44228)
jvn.jp/vu/JVNVU96768815/
www.ipa.go.jp/security/ciadr/vul/alert20211213.html
www.jpcert.or.jp/at/2021/at210050.html
Serious Vulnerability in Logging Software: IPA Urges Immediate Action
www3.nhk.or.jp/news/html/20211214/k10013387051000.html
Serious Vulnerability in Apache Log4j, IT Companies Begin Investigation
and Response
japan.zdnet.com/article/35180746/
[Urgent] Very Serious Vulnerability in Apache Log4j / [緊急] Apache Log4jの非常に深刻な脆弱性について
セキュリティ