Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO

先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました ここでは SpringBoot をベースとしたアプリケーションへの影響と対応可否の判断についてどのような調査を行ったかを記載します。 ひとまず結論 Spring 側から見解がすでに出ています。 Log4J2 Vulnerability and Spring Boot 以下抜粋します。 Spring Boot users are only affected by this vulnerability if they have switc

[kuzumimizuku]

log4j2に依存してる箇所があった場合に、それが影響のある範囲の依存なのかどうか、把握も検証も難しいし、影響がなかったとしても納得してもらえる説明をするのも難しい(；´Д｀)ので参考になる

[gowithyou]

アプリケーションサーバが無制限にアウトバウンド通信を許容してなければJNDI通信出来ないから、たとえこの脆弱性(JNDIインジェクション)をつかれても、問題が発生することもないけどな。

[com4dc]

一応アプリ側も色々検証してました記録

[zu2]

“結果として、大きな影響はなさそうであるものの、昨今のアプリケーションはたくさんの依存を持っており、「問題がないことを証明する」ことが非常に難しくなってきていると感じました”

[rochefort]

この調査は 2021/12/10 終業のタイミングで、アプリケーション側としては一旦の見解は出ており、調査によって休日出勤を強いられてこの記事を書いているわけではありません。

[Kwappa]

業界激震のアレについてです（手元のやつはセーフだった）

[masarizm]

log4j

[kaneko_hk]

ここまで様々なパターン考えて実機検証しなければいけないものなのかなぁ？ ウチは「弊社環境は直接インターネットに出ていけない閉域網なので問題ないです」って報告だけで済ませたけど。

[odakaho]

うちもっと古いわ “spring-boot-starter-logging:2.2.13.RELEASE” “SpringBootのバージョンがやけに古い”

[estragon]

大騒ぎになってるけど、log4j2はどのくらい使われてるのかしら。マインクラフトが話題になったけど、Apache製品はみんな影響受けるとして、他にどんな製品が影響受けるのかリスト欲しいわ

[masaru_b_cl]

検証お疲れ様でした！