2021/12/13 で喋ったこと Vol.150

[jiyuujin]

Log4j2 の脆弱性 (CVE-2021-44228) について

JNDILookup というクラスが問題。このクラスは log4j2-core に存在しており、この依存が問題になるようです。

詳細はこちらの 解説 が大変分かり易いのでご一読を。

Spring Boot から公式見解

Log4J2 Vulnerability and Spring Boot

基本的な対策

基本的に log4j v2.15.0 に上げれば良い。

• org/apache/logging/log4j/log4j-api/2.15.0
• org/apache/logging/log4j/log4j-core/2.15.0

ただしバージョンを上げるだけでは根本の払拭・解決には至らない。早速 Amazon や Google 、 Microsoft などのベンダーから log4j2 対策が入っており、インフラ側で防御できるなら防御した方が良いと思われる。

• Apache Log4j2 Issue (CVE-2021-44228)
  • Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました
• Google Cloud Armor WAF rule to help mitigate CVE-2021-44228 Apache Log4j vulnerability
• Microsoft’s Response to CVE-2021-44228 Apache Log4j 2

Logout4Shell は、この脆弱性を使って「JNDI Lookup機能を停止させた状態でLog4jを再構築するプログラム」を実行させることで問題を修正してくれるそうです。

その他

@jiyuujin 個人として Java/Scala プロジェクトにジョインした経験があることもさる事ながら、つい 2 か月前にも Node.js 界隈でクリティカルな 問題 が起きたばかりで本当に他人事とは思えないです。

[jiyuujin]

オハヨーウェブサイト 機能追加 2 件

粛々と進めた。後者は JSer.info のデザインを参考にした。

• トップページにおけるウェブサイトメンテナ表示の追加 (下記左参照)
• タグ履歴ページにおけるヘッドライン表示の拡充 (下記右参照)

メンテナ	ヘッドライン

プロフィール用コンポーネントについて

別リポジトリ で進めており、外部プラグインとして読み込んでいる。

• Vue 2 をお使いの方は dev_vue2 ブランチを参照してください
• Vue 3 をお使いの方は dev_vue3 ブランチを参照してください

[jiyuujin]

Advent Calendar

気になる記事を深掘り。

PWA の事例や Web Share API 実装について

• 死んだ金魚を追悼するためのサイトを作った備忘録
• Web Share APIでPWAに共有機能を実装する

Vue における MapLibre GL JS の開発環境について

Vue.js で MapLibre GL JS の開発環境を構築してみた