※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
https://twitter.com/nullpo_head/status/1469152015637151745
(略)
※省略していますので全文はソース元を参照して下さい。
https://twitter.com/5chan_nel (5ch newer account) 「付いてるのはおかしい」の考え方では防げない事で、
「何が付いてるかわからないからALLOW設定を厳密に制御」の考え方なら防げたわけで。
これは仕様がおかしかった話だけど、
悪意あるソフトウェアが混入される可能性は
全てのユニットについて考慮しないといけない時代なんだと思うよ。
well-architectedの考え方ってその辺すごく重要視されてる
0253ニューノーマルの名無しさん2021/12/12(日) 16:17:57.75ID:YioXlAov0
>>7
新しいもののほうが優れていることは多いが、それが必ずしも普及するわけではないんですぜ旦那。 0254ニューノーマルの名無しさん2021/12/12(日) 16:21:04.46ID:rcX4xk0Z0
こんなに訳がわからんスレ初めてだわ
何言ってんだかさっぱりわかんねえ
0255ニューノーマルの名無しさん2021/12/12(日) 16:23:25.21ID:Zkj4IMQY0
まじか
iCloudもMinecraftいいがSteamは困る
0256ニューノーマルの名無しさん2021/12/12(日) 16:27:01.19ID:FX3LHpY00
チャットインジェクションか新しいなw
0257ニューノーマルの名無しさん2021/12/12(日) 16:34:14.27ID:l8I8iGOa0
これは逆に中国ロシアもやばいのでは?
>>36
JavaとJavaScriptを混同してるバカが久しぶりに来たか? 0259ニューノーマルの名無しさん2021/12/12(日) 17:06:27.39ID:YioXlAov0
>>254
その「 何言ってんだかさっぱりわかんねえ」奴が年功序列で上がれて
企業の上層部で決裁権を振りかざしているのが中世国家ジャップランドなんだわ。 0260ニューノーマルの名無しさん2021/12/12(日) 17:17:08.74ID:CRW5x+HH0
まじかよアパッチ族最低だな
>>259
手を動かす労働を他に押し付けるのを労働だと思ってるやつが上に行く Javaの無料文化面倒だよな。
悪貨が良貨を駆逐してる。
0264ニューノーマルの名無しさん2021/12/13(月) 02:28:23.98ID:PV3uvtyf0
このニュース知らずに偶然今日休み取ったわい勝ち組
誰かが検証してあかん出来てしもたってメールが飛んでたのは見てしまったけど
>>263
Javaって有料に向かってるんじゃなかったっけ?
だから今は代替えなににするかって魚竿してるはず 問題のコードを書いたのはWoonsan Ko
ハングルが母国語みたいですね。
致命的なバグにもいろいろあるけれど、今回のは最悪の場合、会社の命が断たれるタイプの「致命」なんで、コロナの話とかどうでもいいんで、テレビのニュースのトップにしてほしい。
それに、スマートスピーカーに侵入されて盗聴されたりする可能性もないとは言えないし、個人でも普通に関係のある人はいそう。
しかし、21世紀に入ってから最悪のバグかもしれないのに、世間の反応が薄い。薄すぎる。
ここ6年以内に新しいシステムを導入した会社の担当者は、急いでLog4j2を使ってないか確認しろと、何のトラブルもなくても今すぐ確認しろと、誰か教えてあげてください。
ひろゆきもどうでもいいことを論破してる暇があったら、こういう時にがんばれと…
興味本位でバグを付く輩がいるから、そうならないように情報絞ってんじゃないかね、好意的に考えれば
単にどんくらいやばいのか、わからんだけだとは思うけど
情報絞ってなんかいない。
あまりにイージー過ぎてヤバすぎる。
もしIT系エンジニアで理解できていないなら転職すべきレベル。
うちんとこはもうこの話題で持ちきりだったわ
さすがに理解してないアホはいなかったけど
Javaの案件は今はほぼ無いけど既存システム全部チェックする様に即通達出た
とりあえずlookupは使ってないから起動オプションの変更で対応することにしたわ
まあそもそも外向けの通信は閉じてるサーバがほとんどで即日対応は少ないんだけど脆弱性の内容が理解できないジジイ対応に疲れた
>>276
乙乙でした
システムよりジジィ対応にカロリー使われるの
ホント勘弁よなぁ まぁでもソフトウェア仕事ってそこにカロリーを使うのが本質なのかもしれんよ。
なんも知らんジジイとかど素人さんとか。
プロしかあいてしないのは、むしろアマチュアの遊びといっていいかも
>>280
いわゆるIT奴隷はバカな客やら上司に説明しないといけない 0282ニューノーマルの名無しさん2021/12/14(火) 00:33:48.97ID:ZrUNak9Z0
詳しいことはよく分からん一般人は何をしておくのがいい?
適当につかってるソフトにも脆弱性があるかも知れんのよね
>>281
転職せえよそんなとこ
まともで稼ぎも良い職場いくらでもあるのに 0284ニューノーマルの名無しさん2021/12/14(火) 01:49:45.76ID:y5QjcEau0
Apache Struts を使用もやばいやんけ
>>283
お前は何も分かってない
SIerの仕事の方が内製の仕事より圧倒的に給与がよい 0286ニューノーマルの名無しさん2021/12/14(火) 09:08:09.26ID:kVDPimYf0
よくこんなの見つけられるな
0287ニューノーマルの名無しさん2021/12/14(火) 11:49:59.08ID:fyETclMx0
log4jのスポンサー、たった三人しかいなかった
0290ニューノーマルの名無しさん2021/12/15(水) 07:30:31.45ID:Bp7R73x40
>>271
ひろゆきが口にすると自身の関与を疑われそう 0291ニューノーマルの名無しさん2021/12/15(水) 08:55:07.98ID:MqecPaA00
つこてへんし
0292ニューノーマルの名無しさん2021/12/15(水) 08:58:02.51ID:t7GV2e550
うわぁ、このクソ忙しいときに、超めんどくせぇ。
こんな誰得な機能をなぜわざわざ盛り込んだのか
よく見つけたな
0294ニューノーマルの名無しさん2021/12/15(水) 10:46:44.81ID:3p6ejYcR0
iCloudはアプリの方だよね?
サーバ側は問題ないとは思うけど
まさかJavaで書いてあったとは
ネイティブでマルチプラットフォーム対応してないのは怪しい可能性があるってことかな
0295ニューノーマルの名無しさん2021/12/15(水) 10:51:33.22ID:3p6ejYcR0
スチームとかマイクラのもっさり感はJavaっぽいなとは思ってたけど
そういうアプリって結構あるよね
アレとかアレとか
0296ニューノーマルの名無しさん2021/12/15(水) 10:53:01.68ID:0P5oGVLn0
>>85
この脆弱性発見したのがアリババだからむしろ感謝すべき 0297ニューノーマルの名無しさん2021/12/15(水) 10:57:11.69ID:3p6ejYcR0
ボタンとかUIの形状にもJavaクライアントだとクセがあるし分かりやすい
0298ニューノーマルの名無しさん2021/12/15(水) 10:58:43.59ID:FsHBZZw+0
JAV 日本エロ動画
ジャパニーズアダルトビデオの略
0302ニューノーマルの名無しさん2021/12/15(水) 12:40:19.58ID:3p6ejYcR0
>>301
マジですか
ストラッツって使ってるとこ多いのかな