Javaのロギングライブラリ「Log4j」にヤバめの脆弱性が発見されて祭りになっとるな。(;´・ω・`)
Log4jってのはJavaの中でも極めて標準的なライブラリで、Java経験者で知らんヤツはおらん。
5年くらい前の知識だけど、Androidだと標準になってた気がするな。
それに脆弱性が発見されたとかで、仕事でJavaを扱っている僕としてはちょっと気になり、リモートワークを活かして土曜日ながら自発的に調査した。
どうダメなのか?
困ったのが、まだ完全に情報が出そろってないんじゃないか?
「Log4j」だけで慌てるのは時期尚早で、もう少し「Log4jの中でもどういう条件を満たしているとダメなのか?」が重要なわけよ。
極端な話、jarをimportしているだけで使っていなければセーフなわけでしょ?
そこの条件が知りたかったのだが、こちらのサイトを参考にすると、こういうことらしい。
影響ライブラリと影響バージョンは log4j-api と log4j-core の 2.0 <= Apache log4j2 <= 2.14.1 です。
log4j-api と log4j-core か。これが知りたかった。
ウズマスへの影響
早速僕のプロジェクトで使っているかどうかを調べたんだけど、どうやらセーフっぽいな。
Java のロギングライブラリには「slf4j」と「logback」っていうのもあって、まあ、Log4jと何が違うかなんて気にしていないんだが(;´^ω^`)
習慣的に僕は「slf4j」と「logback」の組み合わせを愛用していて、log4j-api と log4j-coreは使ってない。
ということで、とりあえずは対岸の火事と見ておいて良さそうかな。
続報も注意しておかねばならんかもしれんのう。(´・ω・`)
0 件のコメント:
コメントを投稿