(写真:@IT)
マンガのテーマは、Log4j 2の任意コード実行の脆弱(ぜいじゃく)性(CVE-2021-44228)です。【その他の画像】4コマ漫画---Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。---日本国内では2021年12月10日(金)からTwitterなどで話題になり始め、JPCERT/CCが土曜日に注意喚起を行うなど、土日を挟むタイミングで対応に追われることとなりました。まだ対処していない方は、即時対応しましょう。対策方法は以下のページの最新情報を参照してください。Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起(JPCERT/CC)Apache Log4j Security Vulnerabilities(The Apache Software Foundation.)
ソフトウェアには一般的にログ、つまり実行記録を出力する機能を実装します。不具合が起きた際の調査はもちろん、処理が正常に実行されたかどうか、誰がアクセスしたかなどを記録するために用いられます。そして、ゲームから業務システムに至るまで、同じようなログ機能が搭載されています。同じような機能であるならば、皆がそれぞれ実装して「車輪の再発明」をするのは非効率です。そこで、「共通部品は皆で開発し、皆で一緒に使いましょう」という、オープンソースソフトウェアとして開発されることが少なくありません。その中でJava向けに実装されたものの1つが「Log4j」です。そして、オリジナルの「Log4j」(バージョン1系。以下「Log4j 1」)の後継としてApache Software Foundationの配下で開発されたのが「Apache Log4j」(バージョン2系。以下「Log4j 2」)です。CVE-2021-44228の脆弱性が判明したのは、「Log4j 2」です。Log4jといえば、普段.NETでしか開発を行っていない筆者でも知っているような大御所のイメージです。しかし、さらに知名度の高いWebサーバとしての「Apache HTTP Server」と混同して「Apache HTTP Server」に脆弱性があるかのような誤解や、「Log4j 1」と「Log4j 2」を混同した誤解により、不毛な対応を強いられた社内SEやベンダーSEも少なくなかったようです。
次ページは:どんな脆弱性なのか1/6ページ