“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ(Apache Log4j2)【NHK】 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ
https://www3.nhk.or.jp/news/html/20211214/k10013387051000.html
2021年12月14日 4時02分
世界中で広く使われている、サーバーの操作記録などを残すためのソフトウエアに、深刻なぜい弱性が見つかり、悪用されると情報を引き出されたり、最悪の場合、サーバーの管理者権限を奪われたりするおそれもあるとして、情報セキュリティー機関が、ソフトを使用している事業者などに対して早急に対策をとるよう呼びかけています。
ぜい弱性が見つかったのは、コンピューターのサーバーの操作履歴などの記録を残すために使われている「Apache Log4j2」と呼ばれるソフトウエアです。
情報処理推進機構=「IPA」によりますと、このソフトウエアは、一般に公開され無償で利用できますが、世界中で広く使われているプログラミング言語「Java」で開発されたシステムなどに組み込まれていて、ぜい弱性が悪用されると、コンピューターウイルスを送り込まれたり、外部に情報を引き出されたりするほか、最悪の場合、サーバーの管理者権限が奪われるおそれもあるということです。
IPAによりますと、すでに国内でもぜい弱性を悪用した攻撃が観測されているということです。
ソフトウエアを提供しているアメリカの団体は、ぜい弱性を修正したバージョンを公開していて、IPAはソフトウエアを利用している事業者などに対し「システム環境を改めて見直し、最新版にアップデートするなど、早急に対策をとってほしい」と注意を呼びかけています。
(略)
※省略していますので全文はソース元を参照して下さい。
※関連リンク
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html ※関連スレ
Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
https://asahi.5ch.net/test/read.cgi/newsplus/1639132235/ >>2
そのまま皮に包んで安静にしておいてください ログ取るだけのモンから攻め込まれちゃたまったもんじゃないな。 インターネットに公開されているサーバの1/3が対象だそうだね。
icloudもひっかかってる。 クラウドサービス提供会社やWeb公開サーバ建ててるところは大変だ 社内システムで使ってるけど、それ以前に何もかも古い
apache2.x
tomcat 5か6
javaも5か6 マインクラフトは、チャットの書き込みでやられたんだろ?
特定の文字列とUrlを書いた書き込みで、Urlのサイトからプログラムをダウンロードされて実行されたんだっけ? これは対策されないところから
ザケザク情報が引き摺り出されそうですね インターネット公開サーバは、直ちに危険。
社内サーバはその後。
サーバアプリの問題なので、ユーザーは取れる対策は、あまりない 特定の文字列をログとらせれば使える脆弱性。
認証も関係ない これ振る舞いだけで見たら意図的に仕組まれた機能よな
脆弱性という表現は意図せず穴がありましたという意味やろ?
これは最初から悪意がある機能やん。脆弱性とは言わんやろ。
更にそれがアパッチ謹製のライブラリに入ってるのが深刻と思う
じゃあ何にもライブラリ使えんやん 鉛筆だと思って持ち込み許可したら
多機能でカンニングし放題だった話 >攻撃を行うためには何らかの方法で事前にシステムに不正にアクセスする必要があり、
とあるね
そりゃまあ一度中に入られたらどんなソフトだって無力だろうに javaで動いているサーバ全ての問題なのに
昨日ベンダーに問い合わせたら何もしなくていいって言ってたな >>26
え?どういうこと?
log4j2使ってなかったら関係ないだろ ASF says Log4Shell receives the maximum severity rating, 10, on the Common Vulnerability Scoring System (CVSS) scale.
https://www.pcmag.com/news/countless-serves-are-vulnerable-to-apache-log4j-zero-day-exploit
危険度マックスじゃねーか ここでフリーソフト使ってるからなんて言ってる奴は、超ド素人のしったかだけ。 ID:0PwFfmt60
あまり知識ないのに無理して書かなくていいよ 環境ずさんなソシャゲとかネトゲ会社が狙われてそう
例えば複数回情報漏洩起こしてるK○abとか 何が面倒って、認証とかアタックを記録しようとしてlog4j使ってたらアウトってこと。
この糞実装、何を意図して行ったのか。
悪意、デバック用裏口、俺だけ使える謎機能。 あと、この件は日本の企業の危機意識が低い。
それに、公表する側も週末にやるんじゃない。 日本人のIT知識は皆無だから、こんなホワホワした記事なのか、企業名やソフト名出せないからこんなニュアンスなのか
韓国中央日報の方がわかりやすいわ
今回の問題は先月24日にアリババのクラウドセキュリティチームによって最初に報告されたが、コンピュータコーディング言語の一種であるjava言語で開発されたオンラインゲーム「マインクラフト」で脆弱性が見つかり表面化した。
プログラミングコードでなされた特定のチャットメッセージを入力すれば対象コンピュータで遠隔によりプログラムを実行させられる現象が確認されたのだ。
マインクラフトを保有しているマイクロソフトはすぐにアップデートを開発して適用した後、「アップデートを適用した顧客は保護される」と公示した。
https://news.yahoo.co.jp/articles/3615db031cab8a3f92544af0c48997b684e2e962 apacheってjavaつかってたんかとびっくりしたけど、そういやtomcatってあったな >>27
>>28
馬鹿が常駐してるからきにすんな うちが使ってたのはlog4jの1.x.xだったからまぁええか ログツールが文字列をいちいち解析して実行するとか変なの。 Elasticsearchあたりにも刺さってるし、影響受けないサービスのほうが稀かもしれん
年末に頭痛いわ、助けてくれw >>57
自己レス、ソースを見つけた
1系のバージョンに限った話だな
https://www.jpcert.or.jp/at/2021/at210050.html
Apache Log4j 1系のバージョンについては、
第三者が本脆弱性を悪用するためにLog4jの設定ファイルを変更することができれば影響を受けるとの情報が公開されていますが、
攻撃を行うためには何らかの方法で事前にシステムに不正にアクセスする必要があり、
遠隔からの脆弱性を悪用した攻撃の影響は受けません。 >>34
>>55
ログの自由度を上げるためにユーザーの .class ファイルを動的にロードして実行する仕組みがあった
問題は動的ロードが何の認証も必要無く無条件で実行されるところ log4jの1系は大丈夫でよかった
log4jの2系からこんな機能をデフォルト有効で組み込むとかほんとアホだな >>59
いや、週末対策したので内容全部知っているのだが。
1行目と2行目が全くつながってないでしょ?その説明であなたは納得するの?
ログに特定の文字があったら勝手に処理するロガーなんてありえない。 >>25
最近のはそこまで行かんと危険度高くならんよなあ >>25
それlog4j(バージョン1系)の場合
今問題になってるのはlog4j2で、こっちは外部から実行可能 >>25
IPAの演ってる感演出だよ
無駄飯公務員の なんでマインクラフトが流行ったのか全く理解できねぇ マイクラで騒いでいたのは知ってたが、最初に脆弱性を見つけたのがマイクラサーバだったのか 金曜から土日は休み無し
対策終わったけど彼女にクリスマスプレゼント用意する予定が… >>38
マジでそれ
「土日潰して対策しろや」ってのが見え見え… >>64
これだけの大事件をスルーしてしまったら
IPAはデジタル庁の配下に置かれてしまうぞ N金も使ってるけどMLに流れてこない
開発チームスルーしてんのかな 先週金曜の夜から、ネットで騒ぎはじめていて、ニュースになるだろうと思ってた。 マイクラはカスタムサーバまで金曜日の時点で対応完了してた。
わずか半日でだ >>48
httpdの話ではないので
ngixを使ってるか使ってないかは
まったく関係ない >>16
はーーーー凄い面白い(不謹慎だけど)
内部管理者等-人-を介さなくても本来「立ち入り禁止区域」に入れるんだね(。・ω・。)
危険性のないゴミとして回収された後分別を待つ集積所で
建物内直結のダストシューター遡ってオフィス内に侵入ってイメージ こんな枯れきった基本的なモジュールに新たに脆弱性が見つかるとは驚きだ 余裕の1系やった。クソ古い
まぁなんか他の脆弱性抱えてそうではあるが… 「Apache Log4j」のゼロデイ脆弱性、今知っておきたいこと
https://news.yahoo.co.jp/articles/d5bf6e88e5b269bbbcb0d1eca6d6d6bdd560c104
影響のあるLog4jバージョン2(Log4j 2)ライブラリーは
「Apache Struts2」「Apache Solr」「Apache Druid」「Apache Flink」「Apache Swift」などのフレームワークに含まれている。
Log4j Vulnerability (CVE-2021-44228)
https://github.com/NCSC-NL/log4shell オープンソースには必ず悪意が含まれると思った方がいい >>1
Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
https://asahi.5ch.net/test/read.cgi/newsplus/1639132235/ Log4Shellで侵入して脆弱性塞ぐとかあう荒技提案してるとこあってワロタ 地道なスパイ活動よりも、オープンソースに人を派遣してバグを埋め込むなり怪しい個所を狙いをつけて脆弱性を見つけた方が効率いいよな サーバとは言うけれれど
ブラウザで操作する機器は大抵webサーバ入れてるよね
アパッチかは分からないけど ストラッツって大きいシステムだけだよね?
機器には入ってる場合はあるのかな? ■ このスレッドは過去ログ倉庫に格納されています