nilog: Spring Boot がどこで Log4j なんて使っているんだろうかとライブラリの依存関係を調べてみたら、spring-boot-starter → spring-boot-starter-logging → log4j-to-slf4j → log4j-api という感じだった。 (2021-12-10)

← 前の日	2021-12-10	次の日 →
← 一年前		一年後 →

Twitter (2021-12-10)
Spring Boot がどこで Log4j なんて使っているんだろうかとライブラリの依存関係を調べてみたら、spring-boot-starter → spring-boot-starter-logging → log4j-to-slf4j → log4j-api という感じだった。 [t] 2021-12-10 21:40:51

関連するかも情報
あら、また同じ現象発生してる。9日ぶり。オーバーレイ表示されている情報は前回最後に見ていた動画のもの。流れる動画は別のもの。実害ないけど変な挙動。「Chromecast with Google TV の挙動がおかしい。YouTube 見ててスリープしたあと戻ると毎回同じ動画から再生」 https://twitter.com/nilab/status/1465809031537201154 [t] 2021-12-10 21:00:01
Spring Boot がどこで Log4j なんて使っているんだろうかとライブラリの依存関係を調べてみたら、spring-boot-starter → spring-boot-starter-logging → log4j-to-slf4j → log4j-api という感じだった。 [t] 2021-12-10 21:40:51
log4j-api の修正は 24 days ago なので今回の脆弱性の影響は無いのでは。 logging-log4j2/log4j-api at master · apache/logging-log4j2 · GitHub https://github.com/apache/logging-log4j2/tree/master/log4j-api [t] 2021-12-10 21:44:07
JAR ファイルは用意されている。 Central Repository: org/apache/logging/log4j/log4j-api/2.15.0 https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-api/2.15.0/ [t] 2021-12-10 21:44:26
log4j-api のソースコードは修正されてなさそうだけど、生成された新しい JAR ファイルに影響があるかどうか。 Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub https://github.com/apache/logging-log4j2/pull/608 [t] 2021-12-10 21:52:44
log4j-to-slf4j も 2.15.0 の JAR が用意されてる。 Central Repository: org/apache/logging/log4j/log4j-to-slf4j/2.15.0 https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-to-slf4j/2.15.0/ [t] 2021-12-10 21:55:30
Spring Boot 最新版 2.6.1 の spring-boot-starter-logging-2.6.1 は log4j-to-slf4j 2.14.1 を指定している。 <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> <version>2.14.1</version> <scope>compile</scope> https://repo1.maven.org/maven2/org/springframework/boot/spring-boot-starter-logging/2.6.1/spring-boot-starter-logging-2.6.1.pom [t] 2021-12-10 21:57:48
RT @itmedia_news: Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる、ゼロデイ脆弱性があることが分かりました。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっています。 https://twitter.com/i/events/1469228850471227393 [t] 2021-12-10 22:02:02
RT @kokushin_univ: 【学内システム休止のお知らせ】今週末の間、国信ポータル等、学内システムを休止します。措置：本日期限のオンライン提出のレポート等の提出期限は来週まで延長します。事由：Log4j脆弱性の影響範囲確認のため ※公式HPや出願システムなど学外向けのシステムには影響ありません。 [t] 2021-12-10 22:02:39
RT @itmedia_news: 「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か https://www.itmedia.co.jp/news/articles/2112/10/news157.html https://twitter.com/itmedia_news/status/1469211553228804097/photo/1 [t] 2021-12-10 22:04:04
RT @SaziumR: 【Minecraft・重要・拡散希望】 Minecraft 1.8〜1.18をご利用の方全員にお知らせ致します。 Minecraftに大変重大な脆弱性が発見されました。攻撃は始まっています。今のところ、どんなサーバーも参加しないでください。サーバーは停止させてください。必ず安全を確認してから復帰してください。 https://twitter.com/saziumr/status/1469101481043578880 [t] 2021-12-10 22:05:49
RT @SaziumR: 【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。 https://www.spigotmc.org/threads/security-releases-%E2%80%94-1-8-8%E2%80%931-18-1.537204/ [t] 2021-12-10 22:05:56
RT @SaziumR: Spigot、Paper、Fabric Loaderをご利用の方は最新バージョンに更新してください。バニラサーバーをご利用の方は弥縫策としてJavaのサーバーの起動オプションに「-Dlog4j2.formatMsgNoLookups=true」を追加してください。必ず最新バージョンを随時確認してください。 https://twitter.com/minecraftathome/status/1469110749431803904?s=21 [t] 2021-12-10 22:06:05
RT @minecraftathome: Critical RCE exploit discovered on all Minecraft Java versions from 1.7 to 1.18, clients and servers. (Log4j2 2.0.0 - 2.14.1 vuln) Fix it w: - Use -Dlog4j2.formatMsgNoLookups=true - Update Fabric Loader to 0.12.9 - Upgrade Paper server to latest 1.18 - Wait for mojang patches [t] 2021-12-10 22:06:17
RT @SaziumR: 訂正：「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。 [t] 2021-12-10 22:06:27
RT @SaziumR: サーバーが対策を行ったことを確認確認できない場合は絶対にどんなサーバーも参加しないでください。バージョン1.8〜1.18まで該当します。また、少なくとも1.12.2では「formatMsgNoLookups」フラグでは治らないことが確認されたとのことです。 https://twitter.com/realsalc1/status/1469131865999265796?s=21 [t] 2021-12-10 22:06:37
RT @SaziumR: 公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。 https://twitter.com/slicedlime/status/1469158122476478472?s=21 [t] 2021-12-10 22:06:40
RT @SaziumR: 最新バージョン以外でも、Minecraftを再起動すれば修正バージョンがインストールされるようになっているようです。しかし、バージョン1.12以降のようですので、バージョン1.8〜1.12をご利用の方は今すぐに利用を停止することが推奨されています。 https://twitter.com/slicedlime/status/1469150993527017483?s=21 [t] 2021-12-10 22:06:46
RT @SaziumR: 使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。 https://twitter.com/slicedlime/status/1469159361968852997?s=21 [t] 2021-12-10 22:06:49
RT @SaziumR: サーバーの管理者は前述のJVMオプションの「-Dlog4j2.formatMsgNoLookups=true」フラグで弥縫策になることが開発者より確認されました。バージョン1.18.1まではこちらでしのいでください。 https://twitter.com/slicedlime/status/1469164192389287939?s=21 [t] 2021-12-10 22:06:53

2021年12年10日のnilogをすべて表示する