GroupSession
教えてください。ApacheLog4jの脆弱性の注意喚起がされましたが、GroupSessionへの影響はないのでしょうか?もし、対策が必要でしたら、対策方法を教えてください。
正式な回答は開発者側待ちになるかと思いますが、影響のあるライブラリが./gsession/WEB-INF/lib/ 配下にありますので、そこにあるライブラリの差し替えが基本的な対応方法だと思います。ライブラリを差し替えただけで動けばいいのですが、そんな単純にはいかないと思いますので間違いないのは新バージョンのリリースとその適用出はないかと思います。・log4j-api-2.14.0.jar・log4j-core-2.14.0.jar・log4j-jcl-2.14.0.jar・log4j-slf4j-impl-2.14.0.jar・log4j-web-2.14.0.jarをそれぞれ・log4j-api-2.15.0.jar・log4j-core-2.15.0.jar・log4j-jcl-2.15.0.jar・log4j-slf4j-impl-2.15.0.jar・log4j-web-2.15.0.jarに差し替え
「Apache Log4j 2.15.0」で実施された「Log4Shell」脆弱性(CVE-2021-44228)への対策は不完全のようです。「CVE-2021-45046」は、13日付けでリースされた「Log4j 2.16.0」で対処されているとのこと。https://forest.watch.impress.co.jp/docs/news/1374274.htmlGroupSession Ver5.1.3が出たばかりですが、修正版はでますかねぇ。
> GroupSession Ver5.1.3が出たばかりですが、修正版はでますかねぇ。https://groupsession.jp/info/info-news/security202112144.6以降なら、当該ライブラリの差し替えだけで大丈夫みたいですね。昨日も新たに CVE-2021-45105 が発表されているようですがlog4jも即座に対応Ver2.17をリリースしているようなので、2.17のライブラリに差し替えるだけでよさそうです。
GroupSessionのログ出力設定を標準(log4j2.xml)のまま使用している場合、Apache Log4j 2.15.0、2.16.0で報告されている脆弱性の影響は受けないでしょう。https://logging.apache.org/log4j/2.x/security.htmlApache Log4jサイトにはContext Lookupを伴う使い方だと問題が起きる可能性があると書かれています。少なくともGroupSessionはこの脆弱性の発生条件から外れてます。
TOP