Log4Shell vs Logout4Shell

ほぼこもセキュリティニュース By Terilogy Worx

12月10日以降、大きな問題の終息に向けた活動が活発に行われています。
Log4jの脆弱性に関連したものです。
各組織は自組織に関連したもので、影響を受けるものがあるかをなるべく早く確認し、取れる手を打っているところだと思われます。

そんなLog4jの脆弱性は、通称Log4Shellと呼ばれています。
任意のコマンドを認証なしでリモートから実行できてしまう可能性があるため、このような名前が付けられているのでしょうか。

一方、そんなLog4Shellの案内とほぼ時を同じくして、Logout4Shellというものが案内されています。
これは、Cybereason社がGithubで公開している、いわゆるワクチンです。
脆弱性があるならその脆弱性の機能を使って、問題の緩和をしてしまいましょう、というものになっています。
このLogout4ShellでLog4Shellの問題を緩和することにつながるいくつかの設定を変更してしまえば、問題を抑えることができるじゃないですか、という作戦です。

このワクチンの公開にあたっては、いろいろな意見があったということのようです。
ワクチンはそのまま利用することによって問題を小さくすることができるものと言えそうです。
このワクチンはGithubで公開されていますので、ソースコードも参照できるようになっています。
また、想定された使い方についても解説されています。

脆弱性の使い方の実装例を公開していることになりますので、このワクチンの機構をこの脆弱性を悪用しようとする側の人が参照する場合に、そのまま悪いほうに転用できてしまうのです。

この手のツールは公開の際のジレンマはいつもあるのだと思われます。
少しでも多くの防御側の人がこの緩和策を知り、問題の終息のための活動が加速できればよいなと切に思います。

2021年12月15日のほぼこもセキュリティニュースは、お休みです。

参考記事(外部リンク):Researchers release ‘vaccine’ for critical Log4Shell vulnerability
www.bleepingcomputer.com/news/security/researchers-release-vaccine-for-critical-log4shell-vulnerability/

参考記事(外部リンク):Cybereason / Logout4Shell
github.com/Cybereason/Logout4Shell

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。