2021年12月10日、Log4J2ライブラリに致命的なセキュリティホールが発見されました(RedHatによる危険度レベルは「10段階中の9.8」であり、世界中で警戒が呼びかけられる事態に発展しています)。サーバーを遠隔操作させてしまったり、システムの動作を中断させられてしまう恐れがあるため、必ず、2.17.1以上のバージョンを利用するようにしてください。2.17.1未満(2.16.x以下)をご利用の場合は、ライブラリのバージョンを上げるか、公式に案内がある方法を用いて対策を緊急で行ってください。特に商用システムを運用中の場合、利用ライブラリ内やミドルウェア内で利用がないかも含めご確認ください。
参考 Log4Jの自社システムでの使用を調べる方法、バージョンの確認方法は以下の通りです。 Log4J2に関するRCE脆弱性(CVE-2021-44228)が世界的な問題となっています。『スッキリわかるJava入門』で学ばれエンジニアとしてご活躍中の方の中には、自身が運用中のシステムに関して ...
【12/31更新】Log4Jの使用や使用中バージョンの調べ方・確認方法
参考 当脆弱性の書籍『スッキリわかるJava入門』やdokojavaへの影響は以下の通りです。 2021年12月10日、Javaのログライブラリ「Log4J」に関する極めて緊急性が高いセキュリティホール(CVE-2021-44228)が報告されました。CVSSでも最高レベルの危険度10.0が付与 ...
Log4J2 脆弱性の書籍・dokojava等への影響について
step
1Log4j 2のサイトにアクセス
Apacheソフトウェア財団のLog4j 2ページ( https://logging.apache.org/log4j/2.x/ )にアクセスします。
step
2ダウンロードページへ移動
トップページ左側のメニュー「Download」をクリックすると、ダウンロードページに移動します。
step
3ダウンロード
「Download Apache Log4j 2」の「Apache Log4j 2 binary (zip)」にある「apache-log4j-2.x.x-bin.zip」をクリックし、zipファイルを適当なフォルダに保存します(x.xの部分は最新版の数字に読み替えてください。2023.12現在の最新版は2.22.0)。
特に2.16.X以下のバージョンは致命的なセキュリティホールを抱えています。2.17.1以上のバージョンを利用するようにしてください。
※Log4J 2.13以降ではJava8以降が必要です。Java6や7の環境で利用する方はページ下部の「Previous Releases」から対応バージョンのファイルをダウンロードしてください。その際、「2.12.2未満」はCVE-2021-44832脆弱性を含んでいるため、必ず2.12.4以上を使うようにしてください。
step
4JARファイルを配置する
保存したzipファイルをローカルフォルダに展開します。
zipファイルの中にある、「log4j-api-2.x.x.jar」「log4j-core-2.x.x.jar」がLog4j 2の本体です。このjarファイルを適当なフォルダへ保存し、Log4j 2を利用したいJavaプロジェクトにクラスパスを通します。