◆CVE-2021-44228
・2021年12月9日に、Javaロギングパッケージ(log4j)に影響を与える
・log4jはリモートコードの実行を提供する。この攻撃は「log4jshell」と名付られた
・現在は、「log4jバージョン2.16.0」が公開されこの脆弱性にパッチが適用された
◆参照ソース
- https://github.com/YfryTchsGD/Log4jAttackSurface
- https://www.huntress.com/blog/rapid-response-critical-rce-vulnerability-is-affecting-java
- https://log4shell.huntress.com/
◆JNDI構文を提供する可能性のある場所
・入力ボックス、ユーザとパスワードのログインフォーム、アプリケーション内のデータ入力ポイント
・HTTPヘッダのような「User-Agent」、「X-Forwarded-For」または他のカスタマイズヘッダー
・ユーザが提供するデータの場所