Log4j 2 Looker の更新情報

発生した問題 / Apache Log4j の脆弱性とは

Apache Log4j 2.X の複数のセキュリティ脆弱性（CVE-2021-44228、CVE-2021-45046、CVE-2021-44832、CVE-2021-45105、CVE-2021-44832 など）が 2021 年 12 月 10 日より開示されています。脆弱性は、ライブラリの 0 日間の重要なエクスプロイトから、攻撃者がリモートコード実行（RCE）を実行できるようになる可能性や、DOS の潜在的なリスクまであり、脅威のレベルはさまざまです。

Looker に影響しますか。 Looker の対応はどのようになっていますか？

Looker ではアプリケーションで Log4j が使用されています。チームは、Looker の Log4j ライブラリの使用状況と構成を確認し、Apache がリリースしたバージョン 2.17.0 以降を含むパッチを使用して Log4j ライブラリをアップグレードすることで脆弱性に対処しています。詳しくは、Apache Log4j セキュリティ脆弱性のウェブサイトに記載されています。

Looker でホストされるインスタンスは、Log4j 2.17.0 を使用する Looker バージョンで更新されました。サードパーティのドライバの依存関係が、サードパーティから提供されている最新バージョンに更新されました。セルフホスト型インスタンスのお客様は、できるだけ早く、このページの下部に記載されているバージョンにインスタンスを更新する必要があります。このバージョンには、Looker およびサード パーティ ドライバ用の Log4j 2 のこれらの更新されたバージョンが含まれています。

Looker のプロダクト チームやセキュリティ チームは、Looker の使用状況と構成に基づいて、Looker が CVE-2021-44832 に対して脆弱であると判断しました。

Looker では Log4j の脆弱性をどのように緩和していますか？

Looker は、Log4j ライブラリが更新されたパッチ適用済みバージョンを更新またはリリースしています。Looker は、新しいアップデートが利用可能になり、またサードパーティがライブラリを更新するたびに、引き続き修復プロセスに従って Log4j ライブラリをモニタリングし、更新します。Looker は、既知の Log4j の脆弱性に応じてモニタリングとアラートを設定しています。必要に応じて、Google の標準のインシデント対応プロセスを通じて問題について連絡します。

インスタンスのバージョンはどうすれば確認できますか？

Looker インスタンスの右上にある疑問符アイコンをクリックします。 バージョン番号がリリースノート セクションの右側に表示されます。