Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみている。

Log4j(1)は元々Ceki Gülcüという人が2001年に始めたプロジェクトだった。この方はLog4j(1)の開発を終了して、2005年に、その後継としてSLF4JとLogbackという新しいプロジェクトを始めた。 slf4j.org/news.html

2007年頃、Log4j(1)を使っていたRalph Goersという人が、業務の都合で必要な機能を取り込んで欲しいとSLF4JとLogbackに提案を行ったけれど、一部の機能は取り込んでもらえなかった。そのため2009年頃、Log4j(1)の別の後継版としてApache Log4j2プロジェクトを始めた。

2013年、Woonsan Koという人が、今回の脆弱性の原因となった機能を提案し、パッチを投稿した。 issues.apache.org/jira/browse/LO… その翌日には、Ralph Goers氏によってパッチが取り込まれた。 github.com/apache/logging… 少なくともイシュートラッカー上には、この機能の是非の議論の記録は残っていない。

時を少しさかのぼって2010年、Log4j(1)の元作者のCeki Gülcü氏はApacheのプロジェクトの運用モデルについて述べたブログ記事を書かれている。 ceki.blogspot.com/2010/05/forces… 大意としては、「Apacheでは、理知的かどうかに関わらず、とにかくアクティブに活動している人の方が権限を持つ」らしい。

この記事でCeki Gülcü氏は、「過去に多大な貢献をしてきたCarolという理知的な人を、後から来たUrsulaという理知的でない人が、プロジェクトから追い出すこともできる」と例え話を述べた後で、

「Log4j(1)から去ってSLF4JとLogbackを始める事になったのは、自分にとって人生のトラウマになる出来事の1つだった」と述べている。

それぞれを読みながらツイートしたから順番が前後してしまったけど、まとめるとこういうことか？ Ceki Gülcü氏がLog4j(1)を始める →Ralph Goers氏がアクティブに貢献し始める →Ceki Gülcü氏がLog4jから追い出される →Ralph Goers氏がセキュリティ的に筋の悪い機能の提案を軽率にマージ →今に至る

Ceki Gülcü氏のブログ記事は、特定個人への批判や恨み節というよりは、Apacheの（当時の？）運用モデルの問題点・危険性への苦言という趣旨のように見えた。 愚かな事をした人が悪いのではなく、愚かなことができてしまう運用モデル・仕組みが悪い、という話と受け取っておく。

OSSって、 「それを手がけるに足る能力と十分な見識を持つ人が作る」 場合ばかりではなく、自分も含めて 「必要に迫られていて、なんやかや形にできた人が、とりあえずようわからんまま走り続けてる」 場合は結構あると思う。 前者に成長できず後者のままやってるのは残念なケースだけど、

前者の形で始まったのが、ユーザーが把握してない間に後者の形に変容してしまっていたというのは、もっと残念だなと思う。 FirefoxやChromeの拡張機能が、買収されて以後広告やマルウェアまがいの機能ばかり付け加えられてる、というのは度々聞かれるけど、こういうのは、悪意でなされた最悪の形。

元作者が存命中にあったことだから、こうして元作者視点からの言及を読めたけれど、元作者が完全に放棄したとか失踪したとか死亡したとかで、やむなく他の誰かが引き継いだケースでも、こういうことは起こってるんだろうな。

と、他の人が書いてメンテされなくなった拡張機能の開発を（勝手に）引き継いだ piro.sakura.ne.jp/xul/ctxextensi… 所からアドオン作者としてのキャリアが始まっている僕が語っているという、自己言及的な構図だった。

他の人が作った物を、20年前に素人が魔改造に魔改造を重ね始めて、なんか知らん間にそこそこの人気を博して piro.sakura.ne.jp/xul/tabextensi… 、ドン詰まってにっちもさっちもいかなくなって2回作り直して qiita.com/piroor/items/2… 、ようやく技術的に妥当と言える状態になったのは、ほんの4年前なんすよね。

人の事を愚か愚かと言っている僕の方が現在進行形で全然愚かですっていうオチ

言及頂いた中に、JNDILookupの危険性は2016年頃から知られ始めた blackhat.com/docs/us-16/mat… という情報があった。 「外から入ってくる情報を信用するな」とか、「1つのプロダクトは1つの事に専念し、余計なことをやるな」とかの原則を終始忠実に守っていて防げたものなのだろうか、どうなんだろうか。

問題の機能はLog4j 2.16.0で「削除」されたらしい。 「後方互換性のために今まで消せずにいた」という話を見かけたけど、「軽率にマージした」のも「後方互換性を気にして消せなかった」のも、どちらも「断りたくない、悪人になりたくない」みたいな保身が根底にあったのでは？と思えてしまう。

そう思うのは、かつての自分がまさにそうだったから。今以上に、八方美人のええかっこしいだった。 「いろんな人にいい顔をすること」が良いことだと思ってたんだなあ。

一度入れた機能を消すと、機能を使っていた人から恨まれる。 でも、機能を入れなくても、機能を欲しがってる人から恨まれる。 「誰からも恨まれたくない」が動機の根底にある限り、技術的に正しい判断はできない、ということを僕は痛感した。

「LinuxカーネルのMLで、後方互換性を損なう変更の提案にLinus氏が激怒した」みたいな話は時々聞こえてきて cpplover.blogspot.com/2018/12/linus-… 、それで「後方互換性は大事だ」という事だけ認識してる人もいそうだけど、あれは「安易なマージもダメ」 gihyo.jp/admin/clip/01/… という話とセットだと僕は思ってる

このスレッドも伸びてるので、またぶらさげときます

Apache Log4jに存在する RCE 脆弱性(CVE-2021-44228)についての検証レポート | NTTデータ先端技術株式会社 intellilink.co.jp/column/vulner/… どういう脆弱性かの詳しい分析はこうして出てきてるんだけど、経緯の分析も出てきてくれないものだろうか。。。

僕自身はJavaはほんとに門外漢もいいとこで、このリプライツリーで書いてることにも事実誤認が含まれてるみたいなので、ちゃんと知ってる人に書いて欲しいや

提案されたパッチを議論無しで取り込んだことについて、「軽率に」と僕は書いたけれど、Javaコミュニティで全体的に熱烈歓迎ムードの機能だったのだとすると、これを断るのは、頑固と非難されてもおかしくないような強固な意志が必要だったのかもしれない

自分も同様に「軽率」な側だった

タブが縦に並べられるので凄く助かってます 作成してくださり ありがとうございます