Wikibase/Announcements/2021-12-14/ja

ウィキベースチームは2021年12月9日に発表されたlog4jの脆弱性（CVE-2021-44228又はlog4shell）を認識しています. ウィキベースのDockerイメージで此の脆弱性の影響を受けるソフトウェアは現在使っているElasticsearchバージョン6.5.4のみです. 此れは古いバージョンです. （Elasticの発表を参照）

wikibase-release-pipelineのDockerイメージを使っている人は脆弱性を回避する為にlog4jルックアップを無効にして下さい.

脆弱性を回避する為には、下記のJavaのオプションをdocker-compose(-extra).ymlのES_JAVA_OPTS変数に足して、Dockerイメージを再起動して下さい：

-Dlog4j2.formatMsgNoLookups=true

此のパッチはGitHubのミラーにも在ります.

今後は使うソフトウェアにlog4shell脆弱性が無い様に確かめます.

質問等が有れば質問ページで聞いて下さい. Thanks for your attention.