朝に golang-1.17.5 のリリースがあって、http/2 なときに DoS が可能という問題が修正されてるな〜というのを把握して社内で外に露出している golang なサーバーに対して問題あったっけ、とか調べている最中に @mrtc0 が log4j に RCE が見つかったぽいという話を共有してくれたことから全ては始まった。
最初、 https://github.com/apache/logging-log4j2/pull/608 の修正だけ見てもイマイチ何が問題だったのかわからなかったので、続報の https://www.lunasec.io/docs/blog/log4j-zero-day/ を眺めて理解した瞬間にこれはやばい、とモードを切り替えて一日対応していた。
この辺、なんでパブリックにやったの、とか事前に Alibaba の人から連絡がいってたとか情報は色々あるけど OSS でこの手のセキュリティの問題をまともに対応するのはめちゃくちゃ大変でとにかくすり減るし判断力も鈍るのでしょうがないよなあとは思う。
SNS などを眺めていると、上のエントリを見ただけでヤバさを理解して動き出した人と、ぼーっとしている人が分かれているのが面白かった。揶揄とかではなく、真面目な意味で金曜の昼の時点で動きを始めることができた組織やエンジニアを転職先や今後フォローしていく先として選ぶいいリトマス試験紙になったんじゃないかな。
年賀状の宛名印刷はずーっと前に買った筆王Zeroというソフトを使って延々とアップデートを繰り返して対応していたのだけど、ずっとアップデート無料が Win 11 のリリースと共に終わってしまったのでソフトを買い直した。
別に払えないような気な額なので払ったけど「うーむ、ずっと無料とは」ってなってしまった。