やじうまの杜
情報収集の一助に
“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
NCSC-NLが「GitHub」でまとめているドキュメント
今週のソフトウェア業界は、「Apache Log4j」で発見されたリモートコード実行の脆弱性(CVE-2021-44228、通称:Log4Shell)の話題一色でしたね。弊紙の読者にも情報の収集と対策に追われた(追われている)方がいらっしゃるのではないでしょうか。
「Log4Shell」脆弱性に関する情報は、まず「Log4j」の公式ページとIPA(独立行政法人 情報処理推進機構)のセキュリティアドバイザリを参照すべきです。
また、クラウドサービス各社からもアナウンスが出ているので、利用しているサービスに応じて適宜参照してください。
主要なハードウェアベンダーからのアドバイザリは以下のニュース記事を参照のこと。
関連記事
Intel、AMD、NVIDIAが「Apache Log4j」脆弱性(Log4Shell)の影響を公表
「とりあえず自分の使っているアプリやサービスが影響をうけるかどうか、手っ取り早く知りたい!」という場合は、NCSC-NL(オランダ政府のサイバーセキュリティセンター)が「GitHub」でまとめているドキュメントが有用だと一部で話題です。
1,900近くの著名な製品に対し、それぞれ脆弱性の影響を受けるか受けないか、問題が修正されているかどうか、修正されていればそのソースへのリンクがテーブル形式で整理されています。更新も積極的に行われているようなので、チェックしておくと有用でしょう。リポジトリのトップからは緩和策や脆弱性のスキャンについてもまとめられています。
2,000近くの著名な製品を網羅