オランダ政府が「GitHub」にまとめているLog4Shell脆弱性情報がわかりやすいと一部で話題に

NCSC-NLが「GitHub」でまとめているドキュメント

　今週のソフトウェア業界は、「Apache Log4j」で発見されたリモートコード実行の脆弱性（CVE-2021-44228、通称：Log4Shell）の話題一色でしたね。弊紙の読者にも情報の収集と対策に追われた（追われている）方がいらっしゃるのではないでしょうか。

　「Log4Shell」脆弱性に関する情報は、まず「Log4j」の公式ページとIPA（独立行政法人 情報処理推進機構）のセキュリティアドバイザリを参照すべきです。

• Log4j - Apache Log4j 2
• 更新：Apache Log4j の脆弱性対策について(CVE-2021-44228)：IPA 独立行政法人 情報処理推進機構

　また、クラウドサービス各社からもアナウンスが出ているので、利用しているサービスに応じて適宜参照してください。

• Microsoft：CVE-2021-44228 Apache Log4j 2 に対するマイクロソフトの対応 - Microsoft Security Response Center
• Google：Apache Log4j 2 Vulnerability Security Advisory - Google Cloud
• Amazon：Using AWS security services to protect against, detect, and respond to the Log4j vulnerability - AWS Security Blog
• Cloudflare：CVE-2021-44228 - Log4j RCE 0-day mitigation
• VMware：VMSA-2021-0028.3

　主要なハードウェアベンダーからのアドバイザリは以下のニュース記事を参照のこと。

　「とりあえず自分の使っているアプリやサービスが影響をうけるかどうか、手っ取り早く知りたい！」という場合は、NCSC-NL（オランダ政府のサイバーセキュリティセンター）が「GitHub」でまとめているドキュメントが有用だと一部で話題です。

• log4shell/software at main ・ NCSC-NL/log4shell

　1,900近くの著名な製品に対し、それぞれ脆弱性の影響を受けるか受けないか、問題が修正されているかどうか、修正されていればそのソースへのリンクがテーブル形式で整理されています。更新も積極的に行われているようなので、チェックしておくと有用でしょう。リポジトリのトップからは緩和策や脆弱性のスキャンについてもまとめられています。

2,000近くの著名な製品を網羅