2021-12

OSS脆弱性ブログ

Apache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228, CVE-2021-4104, CVE-2021-45046, CVE-2021-42550(logback), CVE-2021-45105, CVE-2021-44832 )

12/10/2021にApache Log4jの任意のコード実行の脆弱性(Log4Shell: CVE-2021-44228)が公開されました。PoCも公開されており、攻撃も観測されています。非常に影響範囲の大きい脆弱性となりますので、こちらで取り上げます。log4j 1.xでもJNDIを使用する設定にする等の条件を満たせば影響を受ける可能性があるというコメントが出ています。Red Hatがlog4j 1.x(JMSAppenderを使用した設定になっている場合)のCVE: CVE-2021-4104を出しました。CVE-2021-44228では設定がデフォルト以外の場合がカバーされていませんでしたので、新たにCVE-2021-45046が発行されました。log4jも2.16.0がリリースされています。新たにCVE-2021-45105 (無限ループによるDoSの脆弱性)が発行されました。log4jの2.0beta-9から2.16.0までが対象です。それに伴って2.17.0がリリースされています。新たにCVE-2021-44832 (リモートコード実行の脆弱性)が発行されました。log4jの2.0-alpha7から2.17.0までが対象です。それに伴って2.17.1がリリースされています。【2021/12/12 12:00追記】AWS/Red Hat/Oracle/F5/NetAppからの情報を追記しました。【2021/12/12 19:00追記】Microsoft/Googleからの情報を追記しました。【2021/12/13 05:30追記】CISA/Cisco/Dell/VMWare/IBMからの情報を追記しました。【2021/12/13 06:00追記】各セキュリティベンダーからの情報を追記しました。【2021/12/13 17:20追記】Elastic Search, MovableTypeからの情報を追記しました。【2021/12/13 21:50追記】log4j 1.x+JMSAppenderの脆弱性(CVE-2021-4104)の情報を追記しました。【2021/12/14 10:00追記】影響を受ける製品(自分用纏め)の情報を追記しました。【2021/12/14 10:15追記】OWASP ZAP/GVMの情報を追記しました。【2021/12/15 03:25追記】CVE-2021-45046の情報を追記しました。【2021/12/19 10:30追記】CVE-2021-42550(logbackの脆弱性), CVE-2021-45105(無限ループのDoS脆弱性)の情報を追記しました。【2021/12/24 07:50追記】Struts2, Zabbix, NVIDIAの情報を追記しました。【2021/12/26 13:00追記】SIOS Security ChannelでのPoC動画を追記しました。【2021/12/29 19:00追記】CVE-2021-44832の情報を追記しました。
セキュリティブログ

CVE数の動向と考察(2021年版)Part1

ここでは@ITでもやっていた、CVE/CWEの遷移の最新版(2021年版)をこちらで取り上げてみたいと思います。「CVE(Common Vulnerabilities and Exposures)」「CWE(Common Weakness Enumeration)」など、SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)の要素となっている脆弱性情報の視点から見てみると、色々なことが見えてきますので最新版をアップデートしたくなり、こちらで公開させて頂きます。尚、こちらで公開したデータは公になっているCVE情報から取得したものになります。二次転載を含めてデータの再利用は許容しますので、ご自由にお使いください(出典元としてリンクを張って頂けると嬉しいですが)。
セキュリティブログ

CVE数の動向と考察(2021年版)Part1-表1

年CVE数2013-014402013-024062013-034312013-044392013-053572013-063612013-074712013-083752013-094632013-105832013-113902013-...
セキュリティブログ

CVE数の動向と考察(2021年版)Part1-表2

年CVE数(Application)CVE数(OS)CVE数(HardWare)2013/1639722013/2918932013/3718602013/4243852013/5533902013/6333972013/744664201...
セキュリティブログ

CVE数の動向と考察(2021年版)Part2-表1

2013年は画面に入り切らないのと有用性が少ないと判断したため削除しました。2014Num2015Num2016Num2017Num2018Num2019Num2020Num2021NumCWE-3101580CWE-119973CWE-1...
OSS脆弱性ブログ

CVE数の動向と考察(2021年版)Part2-表2

CWE-269の遷移(大きくなるため2016-2021年のみを記載)201620172018201920202021linux6oracle9redhat9redhat12mcafee30microsoft244google2pivotal...
OSS脆弱性ブログ

runcの脆弱性(Moderate: CVE-2021-43784)

12/06/2021にruncの脆弱性(Moderate: CVE-2021-43784)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

ModSecurityの脆弱性情報(CVE-2021-42717)

12/08/2021にModSecurityの脆弱性情報(CVE-2021-42717)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

OpenSSLの脆弱性情報(Moderate: CVE-2021-4044)と新バージョン(OpenSSL 3.0.1)

12/15/2021 (JST) に予告どおりOpenSSLの脆弱性情報(Moderate: CVE-2021-4044)と新バージョン(OpenSSL 3.0.1)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

Apache HTTP Serverの脆弱性情報(Moderate: CVE-2021-44224, High: CVE-2021-44790)と新バージョン(2.4.52)

12/20/2021にApache HTTP Serverの脆弱性情報(Moderate: CVE-2021-44224, High: CVE-2021-44790)が公開され、修正版のApache HTTP Server 2.4.52がリリースされました。今回はこちらの脆弱性の概要と、各ディストリビューションの情報を纏めています。