今日知ったLog4jの脆弱性について調べたことを書きます。

脆弱性を修正したPR

影響範囲

log4j2の影響を受けるバージョンは以下の記事によると、2.0 <= Apache log4j2 <= 2.14.1

log4jバージョン1も影響を受けるというコメントあり↓

脆弱性を修正したPRの修正内容を見ると、ソースコードの修正はlog4j-coreフォルダの下のファイルにのみ入っているので log4j-coreに依存せず、log4j-apiにのみ依存している場合は脆弱性の影響を受けないと思われる。（以下のコメントも同様の見解）

Spring BootのデフォルトLoggerはlogbackで、これを使っている場合はlog4j-apiへの依存はあるがlog4j-coreへの依存はないので影響なし ※Spring Boot2.1.4で確認したが、他のバージョンでは違うかも知れない。