アメリカのApacheソフトウェア財団が、12月13日にJava向けログ出力ライブラリApache Log4jのバージョン2.16.0をリリースしました。
変更点は、JNDI機能をデフォルトで無効にしたことと、Message Lookup機能を削除したことの2つです。
問題となっていた脆弱性に対応した形になります。
この脆弱性は、悪意のある文字列をログに読み込ませるだけで、外部のサーバに置いた任意のプログラムを標的に実行させられるというものです。
Log4jのバージョン2.0-beta9から2.14までがこの影響を受け、対策にはJNDI Lookup機能をオフにする必要がありました。
iCloudやSteam、Minecraftなどユーザーの多いサービスやアプリケーションでもLog4jは使われています。
そのため、悪用されたときの影響範囲が大きく、Log4jに、どうしてこのような機能を搭載したのかなどとITエンジニアを中心に物議を醸していました。
【図解】Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について https://t.co/KuBXrNuLNi pic.twitter.com/HwvEt50OtF
— にちい あきら (@nichii_a) December 12, 2021
TwitterでのLog4jバージョン2.16.0への反応
Log4j 2.16.0 がリリースされてます。このバージョンで諸悪の根源 Lookup がデフォルトで削除されてます
— もつに(@akroasis5150)Tue Dec 14 01:33:09 +0000 2021
Log4jバージョン 2.16.0 がリリースされた。
・Disabling JNDI functionality by default.
・Removing Message Lookups.
※2.15.0では、テキスト内でのlookupがデフォルトで有効にされなくなっている。
この図解分かりやすいなぁ。
— SAKON(@sakon310)Tue Dec 14 02:25:37 +0000 2021
焦った人はもう自分で対処してるだろうけど
Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に
— Daisuke Sawada(@daisuke7)Tue Dec 14 03:27:53 +0000 2021
Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に
ログ出力に普通は要らんやろって機能だもんなぁ。
— こり/koricoli(@koricoli16)Tue Dec 14 03:47:23 +0000 2021
[ITmedia News] Log4j、バージョン2.16.0が登場 問題の機能を削除やデフォルト無効に
— IT系サイト記事(@itit31)Tue Dec 14 04:37:16 +0000 2021