Java の Log4j の脆弱性関連の資料まとめ

かなり深刻な脆弱性で、後から見返したいときも出てきそうなので、自分用に資料をまとめておく。

JPCERT/CC の注意喚起

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

piyokango さんの記事

セキュリティ界隈で有名な piyokango さんの記事。
これを見れば一通りのことが分かるので、とりあえずこれを見ておくのがおすすめ。

Security NEXT

Publickey

広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を - Publickey

TechCrunch

用語的に、ちょっと一般向けっぽく書かれているかな。

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる | TechCrunch Japan

NHK

NHK も出すぐらい影響が大きいと判断しても良さそう。

“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ | IT・ネット | NHKニュース

対応策・緩和策

技術解説など

教訓

これだな、って思ったのでメモ。

log4j2のアレを調べたり色々してたんだけど、「何かのライブラリはその機能だけをやれ。単機能でちゃんと頑張れ。シンプルにしろ」「それ以外の機能はプラグインみたいにして本体に組み込むな」というプラクティスの大切さを感じた。
https://twitter.com/ockeghem/status/1469830333831204864

中国

どうしたかったんだろうな。

その他