ウィキベース/発表/2021-12-14

This page is a translated version of the page Wikibase/Announcements/2021-12-14 and the translation is 91% complete.

ウィキベースチームは2021年12月9日に発表されたlog4jの脆弱性(CVE-2021-44228又はlog4shell)を認識しています。 ウィキベースのDockerイメージで此の脆弱性の影響を受けるソフトウェアは現在使っているElasticsearchバージョン6.5.4のみです。 此れは古いバージョンです。 (Elasticの発表を参照

Official Wikibase logo since 2014
Official Wikibase logo since 2014

wikibase-release-pipelineのDockerイメージを使っている人は脆弱性を回避する為にlog4jルックアップを無効にして下さい。

脆弱性を回避する為には、下記のJavaのオプションをdocker-compose(-extra).ymlのES_JAVA_OPTS変数に足して、Dockerイメージを再起動して下さい:

-Dlog4j2.formatMsgNoLookups=true

此のパッチはGitHubのミラーにも在ります。

今後は使うソフトウェアにlog4shell脆弱性が無い様に確かめます。

質問等が有れば質問ページで聞いて下さい。 Thanks for your attention.