Lightsailで動くWordPress環境に”Log4j”問題(Log4Shell)は影響するか?

Lightsailで動くWordPress環境に”Log4j”問題(Log4Shell)は影響するか?

今話題の”Log4J”問題(Log4Shell)。

些末なBlogに過ぎないこの徒労日記も、Lightsailながらサーバを独自に立てて公開している身。
なにかの踏み台になる可能性は大いにあるので、「LightsailにLog4Jの脆弱性は関連するか」を調べてみた。

使っているインスタンスは Bitnami WordPress 5.6.1-1で2021年8月1日に作成したもの。

結論:影響なし

調べてみた、といいつつLightsailとLog4Jを関連して述べているのはWeb見てもTwitter見ても少ない。

そうなるとこの方のコミュニティへの書き込みがすべてかなと。

Is Apache Log4j configured for Bitnami WordPress – WordPress – Bitnami Community
jota (Bitnami Engineer)

Hi all,

The Bitnami WordPress, WordPress Multisite and LAMP solutions are build on top of PHP and do not include Java that is necessary to run log4j. We can confirm that we are not shipping this vulnerable component in these solutions by default.

As @Jens_Hartmann mentioned, the references to the log4js library inside the nami folder refer to the log4js npm package that is not related to the log4j component. You can find more information here:

https://www.npmjs.com/package/log4js 19

Thanks for using this forum and let us know if you have any other questions.

機械翻訳によると

皆さん、こんにちは。

Bitnami WordPress、WordPress Multisite、LAMPソリューションはPHP上で構築されており、log4jを実行するために必要なJavaは含まれていません。これらのソリューションでは、この脆弱性のあるコンポーネントをデフォルトで出荷していないことを確認できます。

Jens_Hartmann が言及したように、nami フォルダ内の log4js ライブラリへの参照は log4js npm パッケージを参照しており、log4j コンポーネントとは関係がありません。詳細はこちらで確認できます。

https://www.npmjs.com/package/log4js 19

このフォーラムをご利用いただきありがとうございます。他に質問があればお知らせください。

つまり
Bitinami WordPressイメージはJavaを使わずPHPで作られている。
似た名前のLog4jsというパッケージは入っているけど今回のLog4Jの問題とは影響しない。

とのこと。

ひとまず良かった。かな?
Bitnamiはパッケージ単位のアプデがかけづらいので、またインスタンス作り直し?と思っていたから。

コメントを残す