log4jの脆弱性 ~簡易的なバージョン確認の仕方~

2022年1月11日

いえーい。私だよ

今回はlog4jの脆弱性について書いていくんだけど、これはおもにJavaで書かれたアプリケーションが対象にります。

ちなみに私は職場から電話かかってきて知ったよ。おかげで休みの日がつぶれたので、ブログのネタにしていく

 

バージョン確認の仕方がわからなくて困ったので、メモ程度に書いておきます。

 

Linuxの場合

以下のコマンドを実行します

sudo find / -name “log4j*.jar”

すると結果が以下のように表示されます。
(何も出ない場合はlog4jが入っていない可能性が高いです。)

この場合は「/usr/share/logstash/logstash-core/lib/jars/log4j-core-2.13.3.jar」が対象となり、「log4j-core-2.13.3.jar」の赤字の部分がバージョンになります。

これが「2.15.0」いかだとNGです。(画像のこれもアウトですね…)

 

Windowsの場合

[Windows]キーと[R]キーを同時押ししてください

↑この画面が表示されたら「cmd」と入力しOKをクリックしてください

コマンドプロンプトが表示されます

そうしたら以下の文字を打ち込んで[Enter]キーを押してください

cd c:\

上の画像と同じようになっているか確認してください(赤く囲った部分)

次は以下の文字を打ち込んで[Enter]キーを押してください

dir /s log4j*.jar

[Enter]キーを押すと結果が表示されます

この場合は「log4j-core-2.14.1.jar」が対象となり、「log4j-core-2.14.1.jar」の赤字の部分がバージョンになります。

これが「2.15.0」いかだとNGです。(画像のこれもアウトですね…)

 

 

 

とりあえず調べ方が分からなかったので、ファイル名から推察するという原始的な方法を紹介いたしました。

該当バージョンの場合はそれを使っているアプリケーションのアップデートがないか確認し、
最新バージョンにバージョンアップしましょう。

 

 

2021/12/16 追記

現在は各ソフトのメーカから対策版の製品アップデートが出てきているので、それをインストールしましょう。

私の場合はLinuxはlogstashが原因でしたので以下のコマンドで対処できました。

yum update logstash

logstash 7.16.1 以上になっていれば対策済みです

 

Windowsの場合はマインクラフトが原因でした。マイクラの場合はランチャーを起動するとアップデートするか聞かれるのでアップデートします。