• 2021年12月11日土曜日
ウズマスターの日々
ウズマスターの日々 https://blog.uzumax.org/2021/12/log4j.html

Log4j影響調査

 Javaのロギングライブラリ「Log4j」にヤバめの脆弱性が発見されて祭りになっとるな。(;´・ω・`)

Log4jってのはJavaの中でも極めて標準的なライブラリで、Java経験者で知らんヤツはおらん。
5年くらい前の知識だけど、Androidだと標準になってた気がするな。

それに脆弱性が発見されたとかで、仕事でJavaを扱っている僕としてはちょっと気になり、リモートワークを活かして土曜日ながら自発的に調査した。


どうダメなのか?

困ったのが、まだ完全に情報が出そろってないんじゃないか?

「Log4j」だけで慌てるのは時期尚早で、もう少し「Log4jの中でもどういう条件を満たしているとダメなのか?」が重要なわけよ。
極端な話、jarをimportしているだけで使っていなければセーフなわけでしょ?

そこの条件が知りたかったのだが、こちらのサイトを参考にすると、こういうことらしい。

影響ライブラリと影響バージョンは log4j-api と log4j-core の 2.0 <= Apache log4j2 <= 2.14.1 です。

log4j-api と log4j-core か。これが知りたかった。


ウズマスへの影響

早速僕のプロジェクトで使っているかどうかを調べたんだけど、どうやらセーフっぽいな。

Java のロギングライブラリには「slf4j」と「logback」っていうのもあって、まあ、Log4jと何が違うかなんて気にしていないんだが(;´^ω^`)

習慣的に僕は「slf4j」と「logback」の組み合わせを愛用していて、log4j-api と log4j-coreは使ってない。

ということで、とりあえずは対岸の火事と見ておいて良さそうかな。

続報も注意しておかねばならんかもしれんのう。(´・ω・`)

0 件のコメント: