日々精進

新しく学んだことを書き留めていきます

Log4jの任意のコードが実行出来る脆弱性の影響範囲

今日知ったLog4jの脆弱性について調べたことを書きます。

脆弱性を修正したPR

github.com

影響範囲

log4j2の影響を受けるバージョンは以下の記事によると、2.0 <= Apache log4j2 <= 2.14.1

www.cyberkendra.com

log4jバージョン1も影響を受けるというコメントあり↓

github.com

脆弱性を修正したPRの修正内容を見ると、ソースコードの修正はlog4j-coreフォルダの下のファイルにのみ入っているので log4j-coreに依存せず、log4j-apiにのみ依存している場合は脆弱性の影響を受けないと思われる。(以下のコメントも同様の見解)

Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub

Spring BootのデフォルトLoggerはlogbackで、これを使っている場合はlog4j-apiへの依存はあるがlog4j-coreへの依存はないので影響なし ※Spring Boot2.1.4で確認したが、他のバージョンでは違うかも知れない。