Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
https://twitter.com/nullpo_head/status/1469152015637151745
(略)
※省略していますので全文はソース元を参照して下さい。
https://twitter.com/5chan_nel (5ch newer account) Javaは言語仕様が綺麗じゃないから嫌。
C#のほうが遥かに良い。 >>2
アホ
後発の方が良い物が出来るに決まってんだろ
C#はjavaとC++から良いとこどりして作った言語だ >>7
アホはお前だ
とっととブースター打って氏ねや >>7
C#はDelphiをC言語風の文法にしたもの。
アーキテクチャはDelphiそのもの。 Javaオンでしか見れないページは糞ってことだねOK log4j はちょっとヤバいな・・・
zlib の脆弱性のパニックに匹敵する範囲 >>9
Delphi の標準ライブラリにあるバグもそのまま移植されてるという笑い話 独自のロガーを実装していた俺様埼京!(別の脆弱性の可能性は認める!) Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか >>8
俺は未接種だノータリン
無知にもほどがあるわ >>1
数か月前からマイクラの2b2tサーバで悪用されてたやつかw Webアプリの実装調査しないとダメになりそうだな。
入力文字をログ出力なんてしてないと思うけど。 >>12
でもMicrosoftはいいものを買ったよな
Borlandの言語部門なんて 同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな なんでログライブラリがこんなセキュリティホールになるんよ
どんな処理しとん? マイクラはオープンなマルチとかじゃなければ大丈夫なのかな
Steamはかなりまずそうだが >>18
JNDI という、クラスを動的に呼び出す機能がある。 有無 ようわからん
これ使われているのはどのシステムなんですか? これ、とりあえず使ってるライブラリーやら何か全部調べろになるんだろうね。 >>22
delphi のアイデアを思いついて実装した開発者1人が移籍しただけ >>15
stopcovid19.metro.tokyo.lg.jp >>32
サーバサイドのJavaアプリはまず入ってると思っていい。 >>32
Javaのプログラムがログファイルを生成するためのライブラリだから
業務用のシステムではほとんど使ってるんじゃね? ログ出力にコマンド埋め込んで実行できるってこと?
まあ、ログ出力コードがバグってなきや大丈夫だろ >>23
(・∀・;)アーアーキコエナイキコエナイ >>32
ちゃんとした人が開発するJava製システムの9割以上は使ってるくらいの
まず最初に組み込むレベル
この手の使わないとトラブル対応やデバッグなんかの効率が100倍遅くなるレベル windows pc でパンピーが使う java アプレットはセーフ? >>42
サニタイズやってくれてんだろー
って甘えてなけりゃな 5chにlog4jが使われてたら特定の書き込みをしてログに記録された後好きなコード実行し放題か。10年以上よくこの脆弱性見つからなかったな。 エンタープライズはJava!って言い続けるおじさんお疲れ様です >1
> なぜこんな(外部からプログラムを取得する)機能が実装されていたのか
お前らプログラマがコピペ上等でロクに精査してねえからだろ
そもそもライブラリって他人がつくったものだろうに >>42
大規模で並列性が上がるほど飛んできた生データはキッチリ記録したくなる
それにかかるストレージ費用のコストは気にするな! って 起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サー >>50
全部スクラッチなんかコストかかり過ぎるわ >>51
逆アセンブルでソースコードに変換できちゃう系は排除されたけど
昔は色々あった 1に貼ってある元記事の手順見るとめちゃくちゃ簡単だな >>63
${jdgi:ldap:// ・・・てログに出るように仕掛けるだけでいいように見えるね。 ワクチンの冷凍庫のコードを抜いたのは>>25だったのか! >>26
JavaとVBからの影響はほぼない。
仮想マシン上で動かすことぐらい。
Delphi使いがC#を書けばわかるが違和感が全然ない。 困るのは企業だけ?
個人レベルで困ったり対策した方がいいことある? >>71
中身がJavaVMとlog4jで動くアプリを使ってないか
アプリの情報表示や公式サイトでチェック java笑、ruby笑
原始人かよwww
ワロタw 俺がネット始めた頃はjavascriptでサイト閲覧者のクリップボードを
取得出来るのがデフォだったぞ、今考えるとMicrosoft頭おかしいだろ >>72
ありがとう
ちょっとよく分からないから賢い人がどうにかしてくれるの待つわ >>75
アウトじゃない?サーバー側から外部に出れないようにしていれば、多少はまし? >>76
githubを見ていると脆弱性自体は10日以上前に公開されていたっぽい。攻撃用ツールが公開されたんで拙くなってきたんかね。 >>79
LDAPサーバにある悪意のあるクラスを取得して実行しちゃうようだから、インターネットにアウトバウンドできなければ、とりあえずセーフなのかな。 >>79
そうか・・う〜。。。
対象バージョンの範囲広いしこれ本当にやばい
https://www.lunasec.io/docs/blog/log4j-zero-day/
Affected Apache log4j Versions?
2.0 <= Apache log4j <= 2.14.1 >>1
正直クライアントが何か言うまで無視か
これでまた儲ける VM言語で、しかも今のサーバーアプリって仮想コンテナ、OS on OS
みたいな仕組みらしいやん、それくぐり抜けるん?
アクロバティックやねえ どうせ麻雀とテトリス以外の用途ねえからchromeでも動くようにしろよ まじかよ、やめてくれよ週明け影響調査させられたらたまったもんじゃない log4jってApacheのログ出力とかにも組み込まれてるよな
割といろんなところで使われてた気がする >>78
どういたしまして
有名所のアプリなら公式サイトのお知らせチェックして、アップデートとかすればいいと思う
マイナーなアプリは必須でなければ
安全確認取れるまで
しばらく利用見合わせるのおすすめ
ちなみにアプリだけでなくてネトゲとか
加入してるネットサービスも同じね 今までのjava案件で100%使ってるわ、知ったこっちゃねーけど Log4j使ってるシステム大量にあるだろな
頑張って これブラウザでJAVA機能オフにするとかそういうレベルの話じゃないんよね?
何をどーしといたらいいです? log4jなんて使われてないシステムの方が少なくね? ■ このスレッドは過去ログ倉庫に格納されています