QuarkusはLog4Jの脆弱性の影響を受けません。

セキュリティスキャンを行うツールは、推移的依存関係と、実際にアプリケーションにバンドルされたり設定されたりするものを区別するほど賢くはありません。

そのため、このようなツールから、Quarkusやそのエコシステム内の一部のエクステンションが影響を受けていると偽って報告されることがありますが、実際には影響を受けていません。

このような発見の例として、Camel NSQ、Camel Corda 、Vert.xがあり、 これらの依存関係にはlog4j-core.jarが含まれていますが、Quarkusを使用する際には決して使われず、いかなる形でも有効にはなりません。

QuarkusおよびQuarkusエクステンションでは、このような誤検出を減らすためのアップデートが行われていることが確認出来ます。Quarkusのユーザーおよび消費者として、アプリケーションはlog4jの脆弱性にさらされることはありません。

Red Hatの製品セキュリティ情報 には、"Red]Hat Integration Camel Extensions for Quarkus" が影響を受けると記載されています。これは、Red Hatの製品化されたビルド中に、Maven依存関係の推移的な性質により、生成されたMavenリポジトリのZIPファイルにlog4j-core.jarが含まれたため、このように分類されています。つまり、Camel Quarkusを使用している場合は、log4jの脆弱性の影響を受けませんが、Red Hat製品は技術的にlog4j-core.jarを「出荷」しているので、影響を受けるとマークされています。

Camelチームは、このMavenリポジトリのZIPファイルからlog4jを削除するためのアップデートを行います。QuarkusまたはCamel Quarkusのユーザーとして、影響を受けることはありません。

Quarkus自体はLog4jコア実装ライブラリを使用または有効にしませんが、Quarkusまたは他の汎用Javaベースのフレームワークで構築されたアプリケーションは、カスタムコードでデフォルトのログ機能を回避することが常に可能です。

さらに、アプリケーションの依存関係を監査したり、 log4j2.formatMsgNoLookups システムプロパティを true に設定したりすることをお勧めします。後者は、この脆弱性が意図せずに含まれてしまうことを防ぎます。これを行う簡単な方法は、Quarkusのコマンドラインに -Dlog4j2.formatMsgNoLookups=true を追加することです。

しかしながら、もし何らかの理由でクラスパスにlog4j-coreがあり、ログを取るように設定されているならば、最善の行動は、それがバージョン2.16以上にアップグレードされていることを確認することです。

この脆弱性の後、我々は他の同様の問題が現れるのを見てきました - log4jの脆弱性ほど深刻ではありませんが、我々は積極的に監視しており、状況が変わればこのブログとQuarkus公式Github Discussionsの発表トピックをアップグレードします。

この重大な問題に迅速に対応したJavaとセキュリティコミュニティ、特にLog4J 2のコントリビューターに賞賛を送ります。

特に、この脆弱性の影響を受けているプロジェクトを迅速に公開することを可能にした、SonatypeのOSSリポジトリホスティングに感謝いたします。