あの「Log4j」の脅威が再来か、それとも違うのか
オープンソースソフトウェアは世界中で幅広く使われている。脆弱性が見つかった場合、自社のソフトウェアにどのような影響があり、危険性がどの程度あるのかを見積もった上で対応しなければならない。「Apache Commons Text」で見つかった脆弱性はどのようなものなのだろうか。
Apache Software Foundationによれば、文字列処理関連のライブラリ「Apache Commons Text」に脆弱(ぜいじゃく)性が見つかった。Javaベースのロギングユーティリティー「Apache Log4j」の脆弱性も考えられたが、今回の脆弱性はどの程度のものなのか、不安になる。
脆弱性の影響範囲は?
今回発見された脆弱性は「CVE-2022-42889」として管理されている。Apache Commons Textの開発チームは、バージョン1.10.0へのアップグレードをユーザーに呼びかけている(注1)。
Apache Commons Textは文字列の差分計算やエスケープ、プレースホルダーの置換など、さまざまなテキスト操作に使用される低レベルのライブラリだ。発表によると、Apache Commons Textはテキスト中のプレースホルダーを「インターポレーター」で検索した値に置き換えることがある。このインターポレーターに問題がある。文字列置換機能を使用していると、攻撃者はインターポレーターを通じて不正なコードの実行やネットワークアクセスの引き金を引くことが可能だ。
Apache Software Foundationのセキュリティ対応プログラムマネジャー、アルヌート・エンゲレン氏によれば、バージョン1.10.0にアップデートすると、問題のあるインターポレーターがデフォルトで無効になる。
なお、今回の脆弱性はソフトウェア内部で信頼できない入力を適切にサニタイズせず、その上で「StringSubstitutor API」(Apache Commons Text API)を使っていた場合にのみ悪用される可能性がある。つまり、バージョン1.10.0へアップグレードして対応を完了するのではなく、信頼できない入力を適切に検証した後、サニタイズを実行することが望ましい。
Log4jとどちらが危険なのか
今回の脆弱性はGitHub Security Labメンバーのアルバロ・ムニョス氏が発見し、2022年3月9日、Apache Software Foundationに報告したものだ(注2)。Apacheのチームは同3月25日までに脆弱性の公開を認めた。
同5月27日までに、Apacheのチームはデフォルトでスクリプトのインターポレーションが無効になっていることを確認した。同6月29日には、Apache Commons Textのアップデートに着手していることを認め、同10月12日に1.10.0をリリースした。
この間、Apache Commons Textの脆弱性により、Log4jと似たセキュリティ危機が懸念されていた。だが、Sophosの研究者によれば、Log4jの脆弱性と比較することは正しくないという。Log4jはより広く使用されているJavaライブラリだ。
Sophosの脅威研究シニアマネジャー、クリストファー・バッド氏は次のように述べる。
「Log4jはジェネリックコードで悪用できるため危険だ。だが、今回の脆弱性はおそらく特定の標的型コードを必要とする。ほとんどのアプリケーションでは、ユーザーが提供したサニタイズされていない値をそのままライブラリにある脆弱な関数に渡すことはない。つまり、悪用されるリスクはないに等しいと言えるだろう」
Apache Software Foundationの関係者は、Apache Commons Textがどの程度広く使われているか、範囲について質問された際、「公共の利益のためにソフトウェアを制作している」ため、リリースがどのように使われ、他の製品に含まれるかは追跡していないと回答した。
JFrogの研究者は今回の脆弱性で危険があるJavaバイナリを検出するためのオープンソースツールを公開している(注3)。
関連記事
世界の対応で分かる、Log4jの脅威の深刻さ
サイバーセーフティ審査委員会によれば、Log4jは最も衝撃的なセキュリティ脅威の一つであり、将来にわたって影響が残るという。
なぜUberは「5700万件情報漏えい」を6年間も隠したのか?
ライドシェア企業のUberにおいて、2016年に大規模なデータ漏えい事件が発生していたことが分かった。その実態と、事件が長年明るみに出なかった理由は。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 人気爆発のNotionと低迷のEvernote、ノートアプリのトレンド事情を読む
- TeamsとZoomのシェア事情、ビデオ会議の人気再燃……Web会議トレンドの裏側
- 2023年もWindows 11は「様子見」、Microsoftの“賭け”が失敗した原因は?
- 基礎から学ぶ「RISE with SAP」 BTP活用事例3選とクラウドシフトを徹底解説
- パナソニック100拠点に「SAP S/4HANA」を導入 "あるツール"でリプレースを標準化
- Zoomの新コラボレーションプラットフォーム「Zoom Workplace」って何?
- 採用担当者の31%が「Z世代を避ける」と回答した理由
- SSDの基礎技術、導入時のポイント、故障の前兆を徹底解説
- 会社も社会も信用できない従業員の考える「ニューノーマル」の闇
- やる気ない退職しない、悪影響は50倍与える「ゾンビ社員」の実態と対処法
編集部からのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。