Apache JMeter Log4Shell 対応方法

By PLURA

Apacheソフトウェア財団は、Log4j 2に発生した脆弱性を解決するためのセキュリティアップデートを推奨しています。
Apache JMeterは主にユーザーPCで使用されるため、特に注意が必要です。
この脆弱性はサーバーだけでなくクライアント環境にも影響を与える可能性があります。

攻撃者はこの脆弱性を利用してマルウェア感染などの被害を引き起こす可能性があります。
最新バージョンにアップデートを行う必要があります。

apache_jmeter_log4shell

対応方法

Log4jのJNDIパーシングは、リモートコード実行の脆弱性を引き起こすため、該当機能を修正または無効化する必要があります。
以下の方法のいずれかを選択して対応してください。

1. Log4jバージョンをアップグレード

  • Log4jバージョン2.15.0以上にアップグレード(Java 8のサポートが必要)

2. Log4j V2.10.0以上の場合、以下の方法を使用

  • ⓐ Javaの実行引数(Arguments)にシステムプロパティを追加

    -Dlog4j2.formatMsgNoLookups=true

  • ⓑ Java実行アカウントの環境変数またはシステム変数を設定

    LOG4J_FORMAT_MSG_NO_LOOKUPS=true

3. Log4j V2.7.0以上の場合

  • Log4j設定ファイルを修正
    • log4j.xmlなどの設定ファイルでPatternLayoutプロパティの%mを以下のように変更します: 
      %m{nolookups}

4. Log4jバージョンが上記基準未満の場合

  • JndiLookupクラスおよびJndiManagerクラスがロードされないように対応する必要があります。
  • Log4j Coreを直接ビルドするか、プロジェクト内でパッケージ名まで一致させたダミークラスを作成して無効化します。

参考資料

Tags