Log4j影響調査

 Javaのロギングライブラリ「Log4j」にヤバめの脆弱性が発見されて祭りになっとるな。(；´・ω・`)

Log4jってのはJavaの中でも極めて標準的なライブラリで、Java経験者で知らんヤツはおらん。
５年くらい前の知識だけど、Androidだと標準になってた気がするな。

それに脆弱性が発見されたとかで、仕事でJavaを扱っている僕としてはちょっと気になり、リモートワークを活かして土曜日ながら自発的に調査した。

どうダメなのか？

困ったのが、まだ完全に情報が出そろってないんじゃないか？

「Log4j」だけで慌てるのは時期尚早で、もう少し「Log4jの中でもどういう条件を満たしているとダメなのか？」が重要なわけよ。
極端な話、jarをimportしているだけで使っていなければセーフなわけでしょ？

そこの条件が知りたかったのだが、こちらのサイトを参考にすると、こういうことらしい。

影響ライブラリと影響バージョンは log4j-api と log4j-core の　2.0 <= Apache log4j2 <= 2.14.1　です。

log4j-api と log4j-core か。これが知りたかった。

ウズマスへの影響

早速僕のプロジェクトで使っているかどうかを調べたんだけど、どうやらセーフっぽいな。

Java のロギングライブラリには「slf4j」と「logback」っていうのもあって、まあ、Log4jと何が違うかなんて気にしていないんだが(；´^ω^`)

習慣的に僕は「slf4j」と「logback」の組み合わせを愛用していて、log4j-api と log4j-coreは使ってない。

ということで、とりあえずは対岸の火事と見ておいて良さそうかな。

続報も注意しておかねばならんかもしれんのう。(´・ω・`)