Apache Software Foundationは、広く利用されているLog4jロギングライブラリに対する重大なセキュリティ更新を公開しました。
新たに発見された脆弱性(CVE-2025-68161として追跡)は、ソフトウェアが安全な接続を確立する方法の欠陥を悪用することで、攻撃者が機密性の高いログデータを傍受またはリダイレクトできるようにします。
この問題は、Apache Log4j Coreの「Socket Appender」コンポーネントに特に影響します。このコンポーネントは、ログデータをネットワーク経由で中央サーバーに送信する役割を担っています。
| 指標 | データ |
|---|---|
| CVE ID | CVE-2025-68161 |
| 脆弱性の種類 | TLSホスト名検証の欠如 |
| 影響を受けるコンポーネント | Apache Log4j Core |
| 影響を受けるバージョン | 2.0-beta9〜2.25.2 |
| 修正版 | 2.25.3 |
| CVSSスコア | 6.3(中) |
通常、セキュア接続(TLS)が使用される場合、ソフトウェアはサーバーのデジタル証明書のホスト名を確認することで、接続先のサーバーが正しい相手であることを検証する必要があります。
しかし、セキュリティ研究者は、Log4jのバージョン2.0-beta9から2.25.2が、このホスト名検証を実行していないことを発見しました。
この不備は、管理者がverifyHostName設定、またはシステムプロパティlog4j2.sslVerifyHostNameを明示的に有効化している場合でも発生します。つまり、ソフトウェアがサーバーの身元を再確認するよう指示されても、それを無視してしまいます。
この見落としにより、「Man-in-the-Middle」(MitM)攻撃の余地が生まれます。攻撃者がクライアントアプリケーションとログサーバーの間に入り込めれば、通信を傍受できます。
成功するために攻撃者が必要なのは、信頼された認証局によって発行された有効な証明書だけです。Log4jは証明書名が意図した宛先と一致するかを検証しないため、誤って攻撃者のサーバーを信頼し、ログデータをそこへ送信してしまいます。
この欠陥の影響が大きいのは、アプリケーションログには高度に機密性の高い技術的詳細、デバッグ情報、場合によってはユーザーデータが含まれることが多いためです。
傍受されれば、この情報はハッカーが内部ネットワークを把握したり、悪用可能な別の脆弱性を特定したりする助けになり得ます。
この問題は、セキュリティ研究者Samuli Leinonenによって発見され、Apache Log4jのバグバウンティプログラムを通じて報告されました。
これを受けてApacheチームは、適切なホスト名検証を強制することで問題を完全に解決したLog4j Coreバージョン2.25.3をリリースしました。ユーザーには直ちにアップグレードすることが強く推奨されます。
直ちにアップグレードできない場合、管理者は「トラストストア」を通信に必要な特定の証明書のみを含むよう制限し、攻撃者の証明書が受け入れられる可能性を低減すべきです。
翻訳元: https://gbhackers.com/apache-log4j-flaw/
