“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ(Apache Log4j2)【NHK】 [少考さん★]
■ このスレッドは過去ログ倉庫に格納されています
“ログソフト”に深刻なぜい弱性 IPA 早急な対策呼びかけ
https://www3.nhk.or.jp/news/html/20211214/k10013387051000.html
2021年12月14日 4時02分
世界中で広く使われている、サーバーの操作記録などを残すためのソフトウエアに、深刻なぜい弱性が見つかり、悪用されると情報を引き出されたり、最悪の場合、サーバーの管理者権限を奪われたりするおそれもあるとして、情報セキュリティー機関が、ソフトを使用している事業者などに対して早急に対策をとるよう呼びかけています。
ぜい弱性が見つかったのは、コンピューターのサーバーの操作履歴などの記録を残すために使われている「Apache Log4j2」と呼ばれるソフトウエアです。
情報処理推進機構=「IPA」によりますと、このソフトウエアは、一般に公開され無償で利用できますが、世界中で広く使われているプログラミング言語「Java」で開発されたシステムなどに組み込まれていて、ぜい弱性が悪用されると、コンピューターウイルスを送り込まれたり、外部に情報を引き出されたりするほか、最悪の場合、サーバーの管理者権限が奪われるおそれもあるということです。
IPAによりますと、すでに国内でもぜい弱性を悪用した攻撃が観測されているということです。
ソフトウエアを提供しているアメリカの団体は、ぜい弱性を修正したバージョンを公開していて、IPAはソフトウエアを利用している事業者などに対し「システム環境を改めて見直し、最新版にアップデートするなど、早急に対策をとってほしい」と注意を呼びかけています。
(略)
※省略していますので全文はソース元を参照して下さい。
※関連リンク
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html >>34
>>55
ログの自由度を上げるためにユーザーの .class ファイルを動的にロードして実行する仕組みがあった
問題は動的ロードが何の認証も必要無く無条件で実行されるところ log4jの1系は大丈夫でよかった
log4jの2系からこんな機能をデフォルト有効で組み込むとかほんとアホだな >>59
いや、週末対策したので内容全部知っているのだが。
1行目と2行目が全くつながってないでしょ?その説明であなたは納得するの?
ログに特定の文字があったら勝手に処理するロガーなんてありえない。 >>25
最近のはそこまで行かんと危険度高くならんよなあ >>25
それlog4j(バージョン1系)の場合
今問題になってるのはlog4j2で、こっちは外部から実行可能 >>25
IPAの演ってる感演出だよ
無駄飯公務員の なんでマインクラフトが流行ったのか全く理解できねぇ マイクラで騒いでいたのは知ってたが、最初に脆弱性を見つけたのがマイクラサーバだったのか 金曜から土日は休み無し
対策終わったけど彼女にクリスマスプレゼント用意する予定が… >>38
マジでそれ
「土日潰して対策しろや」ってのが見え見え… >>64
これだけの大事件をスルーしてしまったら
IPAはデジタル庁の配下に置かれてしまうぞ N金も使ってるけどMLに流れてこない
開発チームスルーしてんのかな 先週金曜の夜から、ネットで騒ぎはじめていて、ニュースになるだろうと思ってた。 マイクラはカスタムサーバまで金曜日の時点で対応完了してた。
わずか半日でだ >>48
httpdの話ではないので
ngixを使ってるか使ってないかは
まったく関係ない >>16
はーーーー凄い面白い(不謹慎だけど)
内部管理者等-人-を介さなくても本来「立ち入り禁止区域」に入れるんだね(。・ω・。)
危険性のないゴミとして回収された後分別を待つ集積所で
建物内直結のダストシューター遡ってオフィス内に侵入ってイメージ こんな枯れきった基本的なモジュールに新たに脆弱性が見つかるとは驚きだ 余裕の1系やった。クソ古い
まぁなんか他の脆弱性抱えてそうではあるが… 「Apache Log4j」のゼロデイ脆弱性、今知っておきたいこと
https://news.yahoo.co.jp/articles/d5bf6e88e5b269bbbcb0d1eca6d6d6bdd560c104
影響のあるLog4jバージョン2(Log4j 2)ライブラリーは
「Apache Struts2」「Apache Solr」「Apache Druid」「Apache Flink」「Apache Swift」などのフレームワークに含まれている。
Log4j Vulnerability (CVE-2021-44228)
https://github.com/NCSC-NL/log4shell オープンソースには必ず悪意が含まれると思った方がいい >>1
Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
https://asahi.5ch.net/test/read.cgi/newsplus/1639132235/ Log4Shellで侵入して脆弱性塞ぐとかあう荒技提案してるとこあってワロタ 地道なスパイ活動よりも、オープンソースに人を派遣してバグを埋め込むなり怪しい個所を狙いをつけて脆弱性を見つけた方が効率いいよな サーバとは言うけれれど
ブラウザで操作する機器は大抵webサーバ入れてるよね
アパッチかは分からないけど ストラッツって大きいシステムだけだよね?
機器には入ってる場合はあるのかな? ネオソフトよりラーマでしょな人が>>1をより詳しく解説 ログ見たらばんばん攻撃入ってきてて草
ロボットが巡回しとるな この件が示唆しているのは、javaみたいなオープンソースには
善意か悪意か知らんがチートコマンド的なものが潜んでるという事だな。 ■ このスレッドは過去ログ倉庫に格納されています