2021年12月9日(木)(米国現地時間)、GitHubはLog4jロギングフレームワークCVE-2021-44228の脆弱性を確認し、対応プロセスを即時に開始しました。本フレームワークの使用法と、GitHub、製品、インフラストラクチャ全体への影響を判断し、コミュニティが脆弱なLog4jライブラリの使用法を特定するのを支援するため、一般的な脆弱性の詳細を含むGitHubセキュリティアドバイザリおよびDependabotアラートも発行しました。
本ブログでは、12月13日(月)(米国現地時間)時点での調査結果と、GitHubユーザーに推奨される実行ステップをまとめています。
GitHub Enterprise Server
GitHub Enterprise Serverの推奨構成では、CVE-2021-44228は認証されたユーザーにのみ公開されますが、インスタンスがプライベートモードを使用しないように構成されている場合、この脆弱性は認証されていないユーザーにも公開される可能性があります。GitHub Enterprise Serverのインスタンス保護のために、以下の手順のいずれかを、すぐに実行してください。
- Log4jの脆弱性に対応するため、GitHub Enterprise Serverを新しいバージョンにアップグレードしてください。この脆弱性に対応する新しいリリースは、3.3.1、3.2.6、3.1.14、および3.0.22です。
- ホットパッチの使用手順に沿って、既存のGitHub Enterprise Serverインスタンスを最新のパッチリリースにアップグレードしてください。この方法では、メンテナンスウィンドウなしでインスタンスをアップグレードできます。
GitHub.comとGitHub Enterprise Cloud
公開された脆弱性の開示に続き、12月10日(金)夜(米国現地時間)に、GitHub.comとGitHub Enterprise Cloudへの影響の軽減を開始するための迅速な措置を講じました。テレメトリを確認し追加の監視を実施しており、現時点ではどちらでも悪用は検出されていません。今後も新たな展開がないか状況を監視し続けますが、GitHub.comを安全に使用し続けるために、GitHub.comまたはGitHub Enterprise Cloudのユーザーによるアクションは必要ありません。
今後について
当社はこの脆弱性の影響を引き続き調査しており、ユーザーもしくは当社のサービスに新たなリスクが特定された場合は、改めてお知らせします。
