Solrにも影響があります。詳細は https://solr.apache.org/security.html ページの声明をご覧ください。

Solrページで言及されている緩和策に加えて、以下のブログ投稿によると、Java 11.0.1以降を使用している場合は保護されるべきだと示されています。

https://www.lunasec.io/docs/blog/log4j-zero-day/

情報をありがとう、Mike！

私は https://solr.apache.org/security.html で、Solr 7より前のリリースについて以下の記述があることに気づきました：

Apache Solrの7.0より前のリリース（つまり、すべてのSolr 5およびSolr 6のリリース）は、非デフォルトのログ設定を使用しているインストールでは脆弱性の可能性があるlog4j 1.2.17を使用しています。脆弱性があるかどうかを確認するには、Log4Jセキュリティページを参照してください。

私はSolr 6.4.2を使用しています。Log4Jセキュリティページ（https://logging.apache.org/log4j/2.x/security.html）を参照しましたが、1.2のlog4j設定が脆弱性のあるかどうかを確認する手段が見当たりませんでした。この確認方法や他に役立つリンクについてのアドバイスはありますか？

よろしくお願いします。
Matt

他に攻撃経路が見つかるまで、それは同じセクションで述べられている攻撃ベクトルの一部です、特にもしTomcat経由で実行されている場合

もしルックアップ可能なアペンダーを使用することに同意している場合、あなたは脆弱です。私はそれをテストするためのPOCを持っていませんが、一般的には、この機能を明示的に使用している場合にのみ影響を受ける可能性があります。

再度ありがとうございます、Mikeさん！

log4j v1.2向けのルックアップ可能なアペンダーの例をお持ちではありませんか？私は2.x向けのルックアップしか見つけられませんでした。
https://logging.apache.org/log4j/2.x/manual/lookups.html

私はv1.2の場合、次の2種類のアペンダーしか使用していません：

• org.apache.log4j.ConsoleAppender
• org.apache.log4j.rolling.RollingFileAppender

これらのアペンダーを使っている場合、問題ないと考えていますか？

よろしくお願いします。
Matt

https://solr.apache.org/security.html ページの声明によると、すべての7.Xおよび8.Xバージョンが脆弱性を持っているとされていますが、私の7.3.1のSolrインスタンスを見てみると、依然としてlog4jの1.2.17バージョンが見つかります。

私は https://issues.apache.org/jira/browse/SOLR-7887 を見つけましたが、これによるとlog4j2への移行は7.4リリースで行われたようです。

そのため、7.0から7.3.1のリリースも、7.0以前のリリースと同様の状況にあると考えています。

これで合っていますか？

Andy

Andy、その通りですね。サイト上の通知を更新します。詳細を確認してくれてありがとう。

Mikeさん、

「影響を受けるバージョン」の声明が更新されたことに気づきましたが、さらに下の方にはまだ「Apache Solr releases prior to 7.0 (i.e. all Solr 5 and Solr 6 releases) use log4j 1.2.17」と記載されています。

7.0は7.4に更新されるべきです。

Andy

再度ありがとうございます！

また、アナウンステキストにlog4j 1への影響についての詳細も追加しました。

もし誰かがソースから7.7.3をパッチしたい場合は、以下のパッチと簡単なビルド手順をご覧ください：

添付されているパッチを適用してください。メーリングリストが添付ファイルを削除しないことを願っています。

git am < /path/to/CVE-2021-4422.txt
ant clean compile jar -Dversion=7.7.3
cd solr
ant package -Dversion=7.7.3

Bram