(こちらは CircleCI / Log4j Information [CVE-2021-44228]の参考訳です。最新の情報は、元記事を参照してください。)
2021年12月10日、CircleCIは広く利用されているJavaライブラリであるLog4jの脆弱性について認識しました。CircleCIは、弊社のコードベース、ソフトウェア、インフラを十分に調査した結果、この脆弱性が悪用されていると信じるに足る理由はないものと考えています。
Log4jライブラリを含んだり、参照を行っている23のリポジトリ、および3つのサービスを確認した上で、この脆弱性によって発露されるセキュリティベクターがCircleCIの環境では発現できないことを確認しました。確認事項の中には、直接的、間接的に利用しているソフトウェアのLog4jへの依存関係や、CircleCIが使用するサードパーティのサービスにおけるLog4jの利用が含まれます。
サプライチェーン、および重要データのサブプロセッサーを確認しましたが、Log4jの脆弱性がCircleCI環境や弊社のソフトウェアで悪用されたり、弊社の顧客データや企業データへのアクセスを取得されたりする可能性はありませんでした。
弊社では、弊社のリポジトリ内に存在する既知のLog4j使用箇所に対して、迅速にパッチを適用するとともに、サードパーティのソフトウェアおよびサービスに対しても適切に更新を行った上、利用しています。このような理由から、今回のLog4jの脆弱性は、それ自体がCircleCIをご利用いただく上で、お客さまにとってリスクとなるようなものではないと確信していますが、今後も強固で前向きなセキュリティ体制とアプローチを維持していきたいと考えております。
また、混乱を避けるために、ドキュメントやコード中のコメント内でのLog4j参照箇所の記述を更新する予定です。
参照