見出し画像

【Jenkins】log4jによる影響について

みのる

https://www.jenkins.io/blog/2021/12/10/log4j2-rce-CVE-2021-44228/
↑こちらの記事を読んだところ、Jenkinsのスクリプトコンソールで以下のGroovyスクリプトの実行で判明するとのことです。

(確認方法)
Jenkinsのスクリプトコンソールで以下のGroovyスクリプトを実行

org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain.codeSource

※スクリプトコンソール・・・Jenkinsの画面から「Jenkinsの管理」>「スクリプトコンソール」
https://qiita.com/103ma2/items/a6f339fbee5f5e348709
※コマンドの内容としては、Log4jの使用箇所を出力するものでプラグインの名前を含んだパスを出力するとのことです。
(上記のコマンドを実行した後)
実行後以下のエラーが発生した場合、Log4jはどのインストール済みのプラグインにはふくまれていません。

groovy.lang.MissingPropertyException: No such property: org for class: Script1

「実行後に 確認されたプラグインを無効またはアンインストールしJenkinsを再起動した後に、再度上記のコマンドを実行した後にNo such propertyが出るまで確認することを推奨する」とのことです。

That plugin should be disabled or uninstalled, followed by a Jenkins restart and another script execution until the "No such property" error appears.

この記事が気に入ったらサポートをしてみませんか?