2021年12月10日、Javaのログライブラリ「Log4J」に関する極めて緊急性が高いセキュリティホール(CVE-2021-44228)が報告されました。CVSSでも最高レベルの危険度10.0が付与されている当脆弱性に関する、スッキリわかる入門シリーズ・Webサービス・当サイトに関する影響をご報告します。
IT入門書「スッキリわかる入門シリーズ」について
シリーズ各書の現在刊行されている最新版について、表記・解説上の影響は以下の通りです。
⇒ 🆗 Log4Jに関連する解説・言及・コードはありません
『スッキリわかるJava入門 実践編 第3版』
⇒ 🆗 Log4Jに関連する解説・言及・コードがありますが影響ありません(後述)
その他Java以外のシリーズ書籍について
⇒ 🆗 Log4Jに関連する解説・言及・コードはありません
スッキリわかるJava入門 実践編 第3版では、5.4節「ログ出力ライブラリ」でcommmons-loggingやLogback等とあわせて紹介があります。しかし、書籍中には脆弱性を含むバージョンを使用するコードや利用例の掲載はなく、導入手順案内先(後述のsukkiri.jp記事)では最新版の利用を案内してあるため、解説上の影響はありません。また、掲載コードはローカルPC内で動作する前提のコードであるため(=Webサービスのように信用できない第三者から入力を受けるものではないため)、仮に脆弱性のあるバージョンのLog4Jを用いたとしても学習者への悪影響は生じません。
sukkiri.jp導入案内記事について
sukkiri.jpでは、ライブラリやフレームワークの導入方法について紹介記事を掲載しています。Log4Jに直接関係する記事は2つ存在しますが、以下の通り、いずれも影響ありません。
⇒ 🆗 Log4Jに関連する解説・言及がありますが最新版の導入を案内しています
SLF4J + Logbackの利用法
⇒ 🆗 対比用にLog4Jが登場しますが、Log4Jを「使わない方法」を紹介する記事です
なお、上記Log4J2インストール手順の記事には、当脆弱性に関する注意喚起を12/11 7:50(JST)に追加致しました。
dokojava等のサービスへの影響について
当社では書籍読者様向けにdokojavaをはじめとする学習用Webサービスを提供しております。それら内部の一部でJavaを利用しておりますが、下記の通り当脆弱性による影響を受けませんのでご安心くださいませ。
⇒ 🆗 サービス自体はJavaで稼動していないため、Log4Jライブラリを利用しておりません。ユーザーからの送信コードはJVMで実行されますが、Log4Jがクラスパス上に存在しないほか、後述(参考)の機構により影響がありません。
dokoQL (v2)
⇒ 🆗 Javaで稼動していますが、Log4Jライブラリではなく、別の構成(SLF4J+Logback)を利用しております。
dokoC (v3)
⇒ 🆗 Javaで稼動していないため、Log4Jライブラリを利用しておりません。
参考 なお、上記doko*サービス群は、もともと「不特定多数のユーザーから任意のコードを送信され、実行する必要がある」という特性から、JVMのセキュリティサンドボックス、コンテナの隔離機構、行レベルセキュリティ等の各種技術を用いることで、悪意あるコードを送付されても悪影響を生じない(悪意ある実行者自身に影響が限定される)ことを前提とした構成となっております。詳細は下記ブログに記述しております。
-
-
スッキリスト秘話(外伝) dokojava & dokoC 編
こんにちは、無事なんとか10周年感謝祭も終わり、最近、久々の登壇が楽しいスッキリシリーズ著者の中山です。いよいよ本日、みなさまのおかげで、 『スッキリわかるC言語入門 第2版』が発売になりました!!! ...
