Log4Shell

CVE-2021-44228
共通脆弱性評価システム(CVSS)での評価が「10」と最高値となっている脆弱性。
書き込んだログの一部を実行してしまうため、攻撃者は特定の文字列をログに残させるだけで簡単に攻撃が可能である。例えば、攻撃者があらかじめファイルをダウンロードできるサーバにマルウェアを置いておき、そのURLをログに記録させてマルウェアをインストールさせる。この脆弱性を悪用すれば、パスワードや顧客情報をメールで送らせたり、サーバのバックアップデータをまるごとアップロードさせて機密情報を窃取したり、ということができてしまう恐れがある。

タイトルとURLをコピーしました