|
openEulerによると、12月12日、EulerオープンソースコミュニティはLog4jの高リスクセキュリティ脆弱性(CVE-2021-44228)を修正し、セキュリティアドバイザリを公開しました。この脆弱性は、openEuler 20.03 LTS SP1/SP2のLog4jセキュリティパッチにアップデートすることで修正できます。 Log4jのセキュリティ脆弱性を認識したEulerオープンソースコミュニティセキュリティ委員会は、速やかに影響分析を開始しました。この脆弱性を悪用されるとリモートで任意のコードが実行される可能性があり、既に公開されている概念実証(POC)が存在するため、セキュリティ委員会はこの脆弱性を高リスクと評価し、緊急対策を速やかに開始しました。 Euler オープンソース コミュニティは、Log4j の脆弱性の影響を受けるソフトウェア プログラムとシステム バージョンの数を特定するために一晩作業し、影響を受ける LTS システム バージョンが openEuler 20.03 LTS SP1 / SP2 であることを確認しました。 Eulerオープンソースコミュニティセキュリティ委員会と貢献者の共同の努力により、影響を受けたソフトウェアの修復作業は12月11日午後8時に正常に完了しました。システムのセキュリティを確保するために、システムアップデートを通じてできるだけ早く最新のLog4jバージョンにアップグレードすることをお勧めします。 オイラーオープンソースコミュニティは常にセキュリティ対応を最優先に考えており、今後もタイムリーなセキュリティ対応サービスを提供し続けます。 修理進捗タイムライン12月10日 09:47 — 脆弱性通知: Log4jソフトウェアリポジトリに脆弱性問題CVE-2021-44228が発見されました 12 月 10 日 15:22 — 脆弱性調査: Log4j の影響を受けるソフトウェアおよびシステム バージョンのカウントが完了しました。 12月10日 18:22 — 暫定的な修正:暫定的な修正として、Log4jのバージョンをアップグレードしました。SPECファイルの適応とコンパイルエラーの処理が進行中です。 12月10日 22:16 — 最終修正:Log4jのアップグレード中に、新バージョンのコンパイル時にMavenおよびJavaのバージョン変更が発生する可能性があり、多数の問題の解決が必要となることが判明しました。Logo4jのアップストリームコミュニティはすでにパッチソリューションを提供しており、これは適応され、初期コンパイルも正常に完了しています。そのため、修正はパッチソリューションに変更されました。 12 月 11 日 14:46 — パッチ検証: POC コード検証に合格し、現在本番ブランチにマージ中です。 12 月 11 日 20:08 — パッチリリース: openEuler 20.03 LTS SP1 / SP2 Log4j セキュリティ パッチがリリースされました。 12月11日 22:47 — セキュリティに関するお知らせが公開されました: Log4j のセキュリティに関するお知らせが公開されました。こちらをクリックしてご覧ください。 関連記事: 「重大なリスクレベル!Apache Log4j にリモートコード実行の脆弱性、Java ロギングフレームワークに広範囲に影響」 |
