「Arduino IDE」が「Log4j」を削除してLog4Shell関連脆弱性を最終的に解決

「Arduino IDE 1.8.19」

　マイコンボード「Arduino」の開発環境「Arduino IDE」が12月20日、v1.8.19へとアップデートされた。ロギングライブラリ「Apache Log4j」で発見されたリモートコード実行の脆弱性（CVE-2021-44228、通称：Log4Shell）などに対処したセキュリティアップデートとなっている。

　「Arduino」は、イタリア生まれの人気マイコンボード。電子工学やプログラミングの知識がない学生を対象に、簡単にプロトタイプを作成できるツールとして誕生したが、ハードウェア設計と関連ソフトウェアがオープンソースであること、ボードが安価で手に入れやすいこと、C言語風の「Arduino」専用プログラミング言語がシンプルで柔軟性に富み、誰にでも扱いやすかったことから、学習や趣味の領域を超えて、今では幅広い用途で用いられている。

　「Arduino」の開発を行うソフト「Arduino IDE」は「Processing」をベースにしており、Windowsだけでなく、MacやLinuxでも無償で利用できる。Windows 8.1以降であれば、「Microsoft Store」からも入手可能。

　「Arduino IDE」は内部で「Log4j」を利用しており、「Log4Shell」脆弱性の影響を受ける。そのため、一旦は「Log4j」をv2.15.0へアップグレードすることで解決が図られた（v1.8.17およびv1.8.18）。

　しかし、その後も「CVE-2021-45105」「CVE-2021-45046」といった問題が相次いで報告されたことから、「Arduino IDE」から「Log4j」が削除されることになったようだ。現在はシンプルに「System.err.println()」でログが出力されている。