Alibaba Cloud

Alibaba Cloud でのLog4jの脆弱性(CVE-2021-44228)の対応について

はじめに

Log4jの脆弱性(CVE-2021-44228)が大きな影響を生んでいます。
元々はAlibaba Cloud セキュリティチームが脆弱性をApacheに報告したことにより始まっています。

詳しい話は下記に書いてあります(中国語)

help.aliyun.com
 
阿里云帮助中心-阿里云,领先的云计算服务提供商
https://help.aliyun.com/noticelist/articleid/1060971232.html

そこで、Alibaba Cloud ではどのような対応を取るのか確認していきたいと思います。

対策

Alibaba Cloud が公表している情報から

  • Log4Jを2.15.0へアップグレード
  • 影響の受けるアプリ、コンポーネントのアップグレード
  • JDKのアップグレード、log4j2.formatMsgNoLookupsをTrue、クラスパスからJndiLookupの削除

    • 他のプロバイダーと同様の対策です。

    その他に、WAFでは脆弱性のルールが提供されているようです。7日間の無料で緊急対応の問い合わせを行ってくれるようです。
    またSecurity Centerではアプリやコンテナでの検出も行えるようになっているようです。
    Firewallについても脆弱性に対して対応ずみのようです。

    まとめ

    報告元ということもあり既にいろいろと対応がなされています。
    WAFやFirewallなどで対応もできますが、根本解決にはなりませんのでアップグレードを行ってください。

    -Alibaba Cloud
    -