Log4Shell vs Logout4Shell

12月10日以降、大きな問題の終息に向けた活動が活発に行われています。
Log4jの脆弱性に関連したものです。
各組織は自組織に関連したもので、影響を受けるものがあるかをなるべく早く確認し、取れる手を打っているところだと思われます。

そんなLog4jの脆弱性は、通称Log4Shellと呼ばれています。
任意のコマンドを認証なしでリモートから実行できてしまう可能性があるため、このような名前が付けられているのでしょうか。

一方、そんなLog4Shellの案内とほぼ時を同じくして、Logout4Shellというものが案内されています。
これは、Cybereason社がGithubで公開している、いわゆるワクチンです。
脆弱性があるならその脆弱性の機能を使って、問題の緩和をしてしまいましょう、というものになっています。
このLogout4ShellでLog4Shellの問題を緩和することにつながるいくつかの設定を変更してしまえば、問題を抑えることができるじゃないですか、という作戦です。

このワクチンの公開にあたっては、いろいろな意見があったということのようです。
ワクチンはそのまま利用することによって問題を小さくすることができるものと言えそうです。
このワクチンはGithubで公開されていますので、ソースコードも参照できるようになっています。
また、想定された使い方についても解説されています。

脆弱性の使い方の実装例を公開していることになりますので、このワクチンの機構をこの脆弱性を悪用しようとする側の人が参照する場合に、そのまま悪いほうに転用できてしまうのです。

この手のツールは公開の際のジレンマはいつもあるのだと思われます。
少しでも多くの防御側の人がこの緩和策を知り、問題の終息のための活動が加速できればよいなと切に思います。

2021年12月15日のほぼこもセキュリティニュースは、お休みです。

参考記事（外部リンク）：Researchers release ‘vaccine’ for critical Log4Shell vulnerability
www.bleepingcomputer.com/news/security/researchers-release-vaccine-for-critical-log4shell-vulnerability/

参考記事（外部リンク）：Cybereason / Logout4Shell
github.com/Cybereason/Logout4Shell