Fedibirdの全文検索にはElasticsearchが使われていて、そのコードの中にはLog4jが含まれています。Log4jの脆弱性については、CVE-2021-44228および追加のCVE-2021-45046を参照してください。
ただし、Elasticは本件について十分な対策が実施済みであることを公表しています。現在はこちらのディスカッショフォーラムのトップに掲載されている情報を参照すると良いでしょう。
https://discuss.elastic.co/
また、FedibirdのElasticsearchは専用のVPS上で実行しており、不必要なリモートアクセスをブロックしています。
#fedibird
あ、sudachiのこと書くの忘れてたな。
Fedibirdでは、Elasticsearchの日本語形態素解析器(日本語を適切に扱うためのプラグイン)としてelasticsearch-sudachiを利用していますが、こちらも本日10:46にLog4jの2.16.0を利用するように更新されています。(6日前に既に2.15.0にはなっていました)
今回の脆弱性対策をすませたバージョンです。リリースタグはきられてないので、バイナリはありません。最新コードをとってきて自前でビルドします。
#fedibird