ウィキベース/発表/2021-12-14
< Wikibase
ウィキベースチームは2021年12月9日に発表されたlog4jの脆弱性(CVE-2021-44228又はlog4shell)を認識しています。 ウィキベースのDockerイメージで此の脆弱性の影響を受けるソフトウェアは現在使っているElasticsearchバージョン6.5.4のみです。 此れは古いバージョンです。 (Elasticの発表を参照)
wikibase-release-pipelineのDockerイメージを使っている人は脆弱性を回避する為にlog4jルックアップを無効にして下さい。
脆弱性を回避する為には、下記のJavaのオプションをdocker-compose(-extra).ymlのES_JAVA_OPTS変数に足して、Dockerイメージを再起動して下さい:
-Dlog4j2.formatMsgNoLookups=true
此のパッチはGitHubのミラーにも在ります。
今後は使うソフトウェアにlog4shell脆弱性が無い様に確かめます。
質問等が有れば質問ページで聞いて下さい。 Thanks for your attention.