今週初め頃から、Apache Log4jの脆弱性についての注意喚起が行われています。

Apache Log4jにおける脆弱性（CVE-2021-44228）に関する注意喚起を更新。「対策」と「回避策」を更新。The Apache Software Foundation等の情報を確認し、速やかな対策や回避策の実施をご検討ください。引き続き関連情報の注視、本注意喚起の更新内容の逐次確認を。^YK https://t.co/4GWY0igeCM

— JPCERTコーディネーションセンター (@jpcert) December 15, 2021

Log4jというのはJavaで実行されるログを記録するためのライブラリだそうなのですが、細工された文字列を記録した際にログの記録先で命令を実行してしまう場合があるそうです。

このライブラリが非常に多くのシステムで利用されているほか、ログを取るライブラリというその性質上、公開サーバを攻撃された結果として内部のログサーバに被害が発生する恐れがあるということもあって、かなり警戒されているそうです。

WordPressは関係あるのか調べてみたところ、12/18時点では公式には何もアナウンスが行われていないようでした。フォーラム上では質問がされており、モデレータの方から回答がついていました。

Is the Log4j vulnerability an issue?

[wordpress.org forum]

「WordPress本体、およびプラグインはPHPで記述されているので影響を受けない」というのが回答でした。これはなるほどという回答です。

関係して当ブログをホスティングしているサーバの方でも何らかの対策が必要かチェックしてみましたが、特に対応の必要はなさそうだったので安心しました。

現在進行形で対応に追われている方もいらっしゃると思うのですが、大ごとにならないのを祈るばかりです。

JPCERT/CC Eyes「Apache Log4j2のRCE脆弱性（CVE-2021-44228）を狙う攻撃観測」を公開。JPCERT/CCでの観測状況とあわせて、攻撃の詳細について紹介しています。^MM https://t.co/MPCzxJlFyp

— JPCERTコーディネーションセンター (@jpcert) December 17, 2021