チェコのJetBrainsは、JavaロギングライブラリApache Log4j 2におけるリモートコードが実行可能な脆弱性(CVE-2021-44228)の発見を受けて、JetBrains Marketplaceにて配布されているサードパーティのプラグインをチェックしていることを、12月22日(現地時間)に発表した。
同マーケットプレイスには、IntelliJベースのプラグインが多数存在するため、まずはAPI Watcherを使用してApache Log4jに由来するライブラリを使用しているプラグインとそのバージョンを確認し、当該のライブラリ使用が検出されたすべてのプラグインバージョンについて、一時的に非表示としている。
このようなチェック方法では、誤検知が発生する可能性もあるが、今回の選択はチェック漏れを防ぐことをより重視するとともに、プラグイン開発者への注意喚起の意味もあるという。
同社は引き続き、自社製プラグインおよびサードパーティ製プラグインのスキャンを行うとともに、Apache Log4j 2の脆弱性による影響を軽減するために必要な、全てのアクションを行っていくとしている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
