Apache Log4j2脆弱性CVE-2021-44228 に関する各種情報の私的まとめ

Apache Log4j脆弱性CVE-2021-44228に関する各種情報の私的まとめです。あくまで私的なまとめで、すべてを網羅しているわけではないです。順不同。

JPCERT

概要や回避策などが日本語で書かれている。

www.jpcert.or.jp

Springからの見解

デフォルトのロギングを明示的にLog4J2に変えていない限り問題ないという見解っぽい。

spring.io

Dockerイメージのチェック

www.docker.com

Oracle製品の影響

www.oracle.com

RedHat製品の影響

access.redhat.com

AWSサービスの影響

aws.amazon.com

Microsoft 365関係での影響

www.microsoft.com

Azureサービスの影響

msrc-blog.microsoft.com

Log4J2を使用しているかどうか やりかた1

irof.hateblo.jp

Log4J2を使用しているかどうか やりかた2

JVM-verbose:classという起動オプションをつけて確認する方法。

yusuke.blog

バージョンアップの方法

irof.hateblo.jp

AWS WAFのマネージドルールに追加されたLog4JRCEの検証

dev.classmethod.jp

Spring Bootアプリケーションの検証

dev.classmethod.jp