log4j脆弱性 Androidアプリは?

log4jに脆弱性が発表されました。

IPAからは対応方法も発表されています。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html

主にサーバーサイドjavaの話かと思うのですが、Androidでもjava使っているので関係あるかもと思いました。

Androidは大丈夫なのかと思い少し調べてみましたが、
基本大丈夫ということだと思います。

JNDIというものをAndroidはサポートしていないため、関係ないみたいな感じか
https://android.stackexchange.com/questions/243232/does-the-log4j-vulnerability-affect-android-users

No JNDI no attack.

log4jをAndroidアプリに入れて使うこと自体難しいみたいな話も

Disable log4j JMX on Android
I am trying to port the Hyperledger Fabric Java SDK v1.4 to Android (API level 26). The SDK uses Log4j v2.13. Log4j is not quite optimised for android. I get th...
stackoverflow.com
https://stackoverflow.com/questions/60398799/disable-log4j-jmx-on-android/60407849#60407849

依存に入っていれば以下

org.apache.logging.log4j

みたいなパッケージが見つかる ? 以下依存をチェックして見つからなければ安心していいのか?

$ ./gradlew app:dependencies | grep log4j

Comments

タイトルとURLをコピーしました