Log4jがやばいみたいだという他人事感があったのだけで、よくよく調べてみるとAozoraEpub3にも含まれていることがわかった。
Log4jの脆弱性について調べていると、AozoraEpub3のライブラリのcommons-logging内にLog4jのjarが含まれている。それはhmdev版にも含まれているが、Log4j2ではなくLog4jの方だが、そちらにも脆弱性が発見されている。
実際コードを見ると、commons-loggingを利用していないのではないかという感じがしているが、詳しくみて影響がどうなのかを調べてみる。
Log4jの任意コード実行ではチャットなどからテキストを読み込むタイプのプログラムに対しての脆弱性のようだ。つまり、 AozoraEpub3だと青空文庫やウェブ小説にコードを読み込ませる内容が書かれている場合ということかな。
使っていないので念の為にリリースするものには削除する方向で行こうと思う。