Apache Software Foundationは、広く利用されているLog4jログ記録ライブラリに存在する重大な脆弱性に対処する重要なセキュリティ更新を公開しました。
新たに発見されたこの欠陥は、CVE-2025-68161として追跡されており、ソフトウェアが安全な接続を処理する方法の弱点を悪用することで、攻撃者が機密ログデータを傍受またはリダイレクトできるようになります。
この脆弱性は、Apache Log4j CoreのSocket Appenderコンポーネントに影響します。これは、ネットワーク経由でログデータを中央サーバーへ送信する役割を担っています。
問題の原因はTLSのホスト名検証の欠如にあります。これは、安全な接続時にサーバーの身元を検証すべき重要なセキュリティ制御です。
セキュリティ研究者は、Log4jのバージョン2.0-beta9から2.25.2が、管理者がverifyHostName設定またはシステムプロパティlog4j2.sslVerifyHostNameを明示的に有効化している場合であっても、適切なホスト名検証を実行しないことを発見しました。
このソフトウェアは、サーバーの身元を検証するという指示を事実上無視します。
この見落としにより、中間者(MitM)攻撃の余地が生まれます。攻撃者がクライアントアプリケーションとログサーバーの間に位置できれば、信頼された認証局が発行した有効な証明書だけで通信を傍受できます。
Log4jは証明書名が意図した接続先と一致するかを検証しないため、誤って攻撃者のサーバーを信頼し、ログデータを直接そこへ送信してしまいます。
影響は大きく、アプリケーションログには高度に機密性の高い技術的詳細、デバッグ情報、場合によってはユーザーデータが含まれることが多いためです。
傍受された場合、この情報は攻撃者が内部ネットワークを把握し、悪用可能な追加の脆弱性を特定する手助けとなり得ます。
セキュリティ研究者のSamuli Leinonen氏がこの脆弱性を発見し、Apache Log4jバグバウンティプログラムを通じて報告しました。
これを受けてApacheチームは、適切なホスト名検証を強制することで問題を完全に解決したLog4j Coreバージョン2.25.3をリリースしました。
ユーザーには直ちにアップグレードすることが強く推奨されます。すぐにアップグレードできない組織では、管理者は信頼ストアを通信に必要な証明書のみに制限し、攻撃者の証明書が受け入れられる可能性を大幅に低減すべきです。
Log4jに依存する組織は、ログデータが傍受攻撃から安全に保たれるよう、この更新を最優先で適用すべきです。
翻訳元: https://cyberpress.org/apache-log4j-vulnerability/