Log4j 2 Looker に関する更新

何が起こったか / Apache Log4j の脆弱性とは

Apache Log4j 2.X の複数のセキュリティ脆弱性（CVE-2021-44228、CVE-2021-45046、CVE-2021-44832、CVE-2021-45105、CVE-2021-44832 など）が 2021 年 12 月 10 日より開示されています。脆弱性は、ライブラリの 0 日間の重要なエクスプロイトから、攻撃者がリモートコード実行（RCE）を実行できるようになる可能性や、DOS の潜在的なリスクまであり、脅威のレベルはさまざまです。

Looker は影響を受けますか？Looker の対応はどうでしたか？

Looker ではアプリケーションで Log4j が使用されています。チームは、Looker の Log4j ライブラリの使用状況と構成を確認し、Apache がリリースしたバージョン 2.17.0 以降を含むパッチを使用して Log4j ライブラリをアップグレードすることで脆弱性に対処しています。詳しくは、Apache Log4j セキュリティ脆弱性のウェブサイトに記載されています。

Looker がホストするインスタンスが、Log4j 2.17.0 を使用する Looker バージョンに更新されました。サードパーティ ドライバの依存関係が、サードパーティが提供する最新バージョンに更新されました。セルフホスト型インスタンスのお客様は、できるだけ早く、このページの下部に記載されているバージョンにインスタンスを更新する必要があります。このバージョンには、Looker およびサード パーティ ドライバ用の Log4j 2 のこれらの更新されたバージョンが含まれています。

Looker のプロダクト チームとセキュリティ チームは、ライブラリの使用方法と構成により、Looker は CVE-2021-44832 の脆弱性の影響を受けないと判断しました。

Looker では Log4j の脆弱性をどのように軽減していますか？

Looker は、Log4j ライブラリを更新したパッチ適用バージョンを更新またはリリースしました。Looker は、新しいアップデートが利用可能になり、サードパーティがライブラリを更新するたびに、Log4j ライブラリをモニタリングして更新する修復プロセスを継続します。Looker は、既知の Log4j の脆弱性に対応してモニタリングとアラートを設定しています。必要に応じて、標準のインシデント対応プロセスを通じて問題について連絡します。

インスタンスのバージョンを確認するにはどうすればよいですか？

Looker インスタンスの右上にある疑問符アイコンをクリックします。バージョン番号は [リリースノート] セクションの右側に表示されます。