Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
https://twitter.com/nullpo_head/status/1469152015637151745
(略)
※省略していますので全文はソース元を参照して下さい。
https://twitter.com/5chan_nel (5ch newer account) 「付いてるのはおかしい」の考え方では防げない事で、
「何が付いてるかわからないからALLOW設定を厳密に制御」の考え方なら防げたわけで。
これは仕様がおかしかった話だけど、
悪意あるソフトウェアが混入される可能性は
全てのユニットについて考慮しないといけない時代なんだと思うよ。
well-architectedの考え方ってその辺すごく重要視されてる >>7
新しいもののほうが優れていることは多いが、それが必ずしも普及するわけではないんですぜ旦那。 こんなに訳がわからんスレ初めてだわ
何言ってんだかさっぱりわかんねえ まじか
iCloudもMinecraftいいがSteamは困る >>36
JavaとJavaScriptを混同してるバカが久しぶりに来たか? >>254
その「 何言ってんだかさっぱりわかんねえ」奴が年功序列で上がれて
企業の上層部で決裁権を振りかざしているのが中世国家ジャップランドなんだわ。 >>259
手を動かす労働を他に押し付けるのを労働だと思ってるやつが上に行く Javaの無料文化面倒だよな。
悪貨が良貨を駆逐してる。 このニュース知らずに偶然今日休み取ったわい勝ち組
誰かが検証してあかん出来てしもたってメールが飛んでたのは見てしまったけど >>263
Javaって有料に向かってるんじゃなかったっけ?
だから今は代替えなににするかって魚竿してるはず 問題のコードを書いたのはWoonsan Ko
ハングルが母国語みたいですね。 致命的なバグにもいろいろあるけれど、今回のは最悪の場合、会社の命が断たれるタイプの「致命」なんで、コロナの話とかどうでもいいんで、テレビのニュースのトップにしてほしい。
それに、スマートスピーカーに侵入されて盗聴されたりする可能性もないとは言えないし、個人でも普通に関係のある人はいそう。
しかし、21世紀に入ってから最悪のバグかもしれないのに、世間の反応が薄い。薄すぎる。
ここ6年以内に新しいシステムを導入した会社の担当者は、急いでLog4j2を使ってないか確認しろと、何のトラブルもなくても今すぐ確認しろと、誰か教えてあげてください。
ひろゆきもどうでもいいことを論破してる暇があったら、こういう時にがんばれと… 興味本位でバグを付く輩がいるから、そうならないように情報絞ってんじゃないかね、好意的に考えれば
単にどんくらいやばいのか、わからんだけだとは思うけど 情報絞ってなんかいない。
あまりにイージー過ぎてヤバすぎる。
もしIT系エンジニアで理解できていないなら転職すべきレベル。 うちんとこはもうこの話題で持ちきりだったわ
さすがに理解してないアホはいなかったけど
Javaの案件は今はほぼ無いけど既存システム全部チェックする様に即通達出た とりあえずlookupは使ってないから起動オプションの変更で対応することにしたわ
まあそもそも外向けの通信は閉じてるサーバがほとんどで即日対応は少ないんだけど脆弱性の内容が理解できないジジイ対応に疲れた >>276
乙乙でした
システムよりジジィ対応にカロリー使われるの
ホント勘弁よなぁ まぁでもソフトウェア仕事ってそこにカロリーを使うのが本質なのかもしれんよ。
なんも知らんジジイとかど素人さんとか。
プロしかあいてしないのは、むしろアマチュアの遊びといっていいかも >>280
いわゆるIT奴隷はバカな客やら上司に説明しないといけない 詳しいことはよく分からん一般人は何をしておくのがいい?
適当につかってるソフトにも脆弱性があるかも知れんのよね >>281
転職せえよそんなとこ
まともで稼ぎも良い職場いくらでもあるのに >>283
お前は何も分かってない
SIerの仕事の方が内製の仕事より圧倒的に給与がよい >>271
ひろゆきが口にすると自身の関与を疑われそう こんな誰得な機能をなぜわざわざ盛り込んだのか
よく見つけたな iCloudはアプリの方だよね?
サーバ側は問題ないとは思うけど
まさかJavaで書いてあったとは
ネイティブでマルチプラットフォーム対応してないのは怪しい可能性があるってことかな スチームとかマイクラのもっさり感はJavaっぽいなとは思ってたけど
そういうアプリって結構あるよね
アレとかアレとか >>85
この脆弱性発見したのがアリババだからむしろ感謝すべき ボタンとかUIの形状にもJavaクライアントだとクセがあるし分かりやすい JAV 日本エロ動画
ジャパニーズアダルトビデオの略 >>301
マジですか
ストラッツって使ってるとこ多いのかな ■ このスレッドは過去ログ倉庫に格納されています
