Twitterまとめ ネットの知恵 旬な話題 生活の知恵 話題の物

Log4jバージョン2.16.0がリリースされました

アメリカのApacheソフトウェア財団が、12月13日にJava向けログ出力ライブラリApache Log4jのバージョン2.16.0をリリースしました。

変更点は、JNDI機能をデフォルトで無効にしたことと、Message Lookup機能を削除したことの2つです。

問題となっていた脆弱性に対応した形になります。

この脆弱性は、悪意のある文字列をログに読み込ませるだけで、外部のサーバに置いた任意のプログラムを標的に実行させられるというものです。

Log4jのバージョン2.0-beta9から2.14までがこの影響を受け、対策にはJNDI Lookup機能をオフにする必要がありました。

iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでもLog4jは使われています。

そのため、悪用されたときの影響範囲が大きく、Log4jに、どうしてこのような機能を搭載したのかなどとITエンジニアを中心に物議を醸していました。

TwitterでのLog4jバージョン2.16.0への反応

-Twitterまとめ, ネットの知恵, 旬な話題, 生活の知恵, 話題の物
-, ,

© 2022 アラ還おやじのコーヒータイム!これっていいんじゃない?