【Java】「Struts」などにも影響 Log4jにCVSSスコア「10.0」の脆弱性 [速報★]
■ このスレッドは過去ログ倉庫に格納されています
Apache Log4jにCVSSスコア「10.0」の脆弱性 国内で悪用を試みる通信も確認
Apache Log4jに任意コード実行の脆弱性が明らかになった。利用されているJavaシステムが多いことから影響範囲の広さが懸念されている。現状ではまだ不明点が多いが、すでに脆弱性を狙ったハッキングが確認されており、継続的な情報収集と対応が求められる。
2021年12月13日 16時33分 公開
https://www.itmedia.co.jp/enterprise/articles/2112/13/news119.html
この脆弱性を悪用するために特別な設定は不要で、「Apache Struts2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと。脆弱性の影響を受ける「Log4j」のバージョンはv2.0からv2.14.1まで
https://www.cvedetails.com/cve/CVE-2021-44228/ SpringBootはデフォルトlogbackだから影響ないのな log4jのあの仕様は誰得としか思えないけど需要あったのかね? あ、こういうのもだんだん↓こうだろ
岸田、我が国における現状の説明はよ WildFlyなど、Apacheを組み込んでいるシステムだとどうなのかな? java嫌い
javaの習得やたら進める会社とjava案件の地雷率 まじかよstrutsって頭おかしいんか?
今どき生産性良い代替フレームワークいっぱいあるだろwwww これって動作的に見て脆弱性ではなく、意図的に悪意のあるコードが入ってるという理解の方がいいよな。
ある文字列をログに書き出したらやりたい放題できるとかそんなん脆弱性とは言わんわ
さらにそれが胡散臭い中華とかのサードパーティではなくApatch謹製のライブラリというのが深刻と思う。 ログ機能がデフォルトでこんな機能を有効にしているのは頭おかしい そら10年20年と使い続けるしそう簡単には乗り換えないだろ >>8
詳しくないなら無理しないでもと思うぞ(´・ω・`) >>14
そのままだとなんでもオブジェクト取り込めちゃうしなあ
私の予想に反して、デフォのまま実装してる人は思ったより多かったでしょうか… Strutsとかなつかしいな
今もバージョンあがってんの javaは客先常駐ばかりだから手を出さなくて良かった eclipse自体もあれなんか?
最近つこてないからしらんけど
あとandroid studioとかはどうなんだろ >>28
むかしopensslにも10年間放置されていた超致命的セキュリティホールがありましてw
発覚時はセキュリティ業界の誰もが「なんで誰も気づかなかった!」と震撼したものです
オープンソースとはそういうものという
前提で付き合わないといけないッス
よーするに開発・維持費にチェック分の工数と納期上乗せしてもらわんとあかんかと ただでさえ忙しい時期に忙しくさせられる報告出さないで! 手抜きして野良ライブラリなんか使うからだ
ソフトウェアは言語本体の標準関数・ライブラリのみで作り上げるのが最も安全 >>49
それで日本がIT更新国に落ちぶれたんだよな 社内で利用してるサービスの提供元にこの脆弱性の影響の有無を聞いたら
当サービスで使ってるlog4jは1系なので問題ありません!
って自信たっぷりの返事が来て頭抱えてる
なんでそんな余計な情報までくれちゃうかなぁ うるせぇよ
ブラックボックスほど信用できないものはない >>49
それで何百人も集めて工数ばかり膨らむんですね >>49
去年、仕事でAppleWatchアプリ作ったけどフレームワーク組み込むのめんどくさくて全部標準機能で実装した。
Watch程度だとどうにかなるし、人に説明するのも楽だったし・・・ javaは動いてないが誰かの検証の残骸でライブラリは置かれてる…。影響なしでいいんだよな…? >>57
マイクラもハッキング 〜「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1373242.html
サーバーが乗っ取られると、任意のプログラムを実行できるようになるので
javaが動いてなくても、それに繋げてるクライアントまで危なくなるんだって >>57
> 「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できる
ひゃっはー、汚染文字列はエスケープで消毒だーみたいなやつか これ、韓国人が作り出した脆弱性らしいぞ・・・。
https://twitter.com/piro_or/status/1470708416918482950
>2013年、Woonsan Koという人が、今回の脆弱性の原因となった機能を提案し、パッチを投稿した。
https://kowoonsan.blogspot.com/
Woonsan Ko
?? ??? ???
Woonsan on Open Source Software
自己紹介
業種 テクノロジー
職業 Solution Architect
紹介 Committer, member at the Apache Software Foundation, working at Hippo, a BloomReach company.
https://twitter.com/5chan_nel (5ch newer account) CVSSスコア10って出るんだな。
おまえがチャンピオンだ、って感じだ。 >>23
それがわからないカスが知る必要はない。
>>28
別にオブジェクト取り込んでログ処理することもあるからそのためには便利な機能だ。
付与ならばオプション設定して取り込み止めれば良いのだからそうしていないバカが多いのが問題。 >>39
何もしらないカスが騒ぐな。
糞はしんどけど。 >>60
単にURL書いてあったら持ってきて評価するという機能が問題なんだから、そうしないとすれば良いだけ。 >>65
その通り。
かなり広範囲に利用されているものが、外部からの通信などでローカルのシステムを乗っ取られるとか停止されるとかなると10にはなる。 うちも今日これの問い合わせ多くて参った
Javaなんか使ってるシステムほとんどないから問題ないけど >>63
Javaごときでイキるなってw
大体脆弱なのはオマエラの頭 >>41
OSSムーブメントってたぶん騒いでお祭りにしたのはUNIX手に入らなかった共産圏もあるとおもう
西側諸国は貧乏人はPCUNIX使えたし業務にはメインフレームで十分だった >>65
ここ10年で最悪とか英文ページみると
何か色々書いてある。
何かそんな大騒ぎする事の程ではないと思ったんだけど
肝心な詳細が、まぁまだパッチ当て切ってない人も居るせいか
詳しい情報何も公開されてないからね
なんでそんなに米国CISAだとか、カナダCCCSだとか
ドイツBSIだとか各国政府機関が騒いでるのかいちピンとこない
のでググったら、なんか浸透されたエリアがどんどん拡大してる(?)だとか
よく分からん事書いてあったんで、更にググったら
サーバー抑えられると、クライアントまで波及するとか
変な事書かれてたな。
つかこれ、まだパッチ作成前だから公開してないだけで
まさかLog4jだけじゃない、他のログ取る奴に似たような虚弱性あるとか
凄い落ち無いよね? COCOAアプリでlog4j動いてたらどうしよう
ゲーム含めてp2pな機能があるとクライアントでも動いてそうな気がする >>74
インテルのCPUにバックドアっぽいのがあってJAVAの何かが呼び出せるってのを見かけたことがある。 >>78
Windows10にも、イベントログ( eventvwr.exe)
つーログ取機能はあるよ。
今回はログのセキュリティホールだから
理論上は、類似セキュリティホールがある可能性は・・・分らん。 インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
https://www.slideshare.net/codeblue_jp/me-32214055 >>82
こういうオフィシャルバックドアみたいなのはどのチップにもあると言われている
法人端末の管理用であまり表に出てないだけで
AMDならいいでしょ!っていうひとが出てくると思うから補足
UEFIも危ないみたいな話もあるけどパソコンとスマホはそういうのもだとあきらめるしかないかもしれない >>23
そういうときはな、
JavaとJavascriptの違いはxxxだ、これ豆な
とでも書いておけば通りすがりのアホが訂正してくれるよ。 なんで、サーバーの
スタンダードがJava になってしまったんだろ
誰がそうしたんだ?
開発環境に馬鹿みたいにリソースを食う
欠陥仕様 log4j って、ロガーのスタンダードなのに、
なんで、今まで、誰も気づかなかったのたんだよ、って話
馬鹿なのは作った本人だか Ceki Gülcü氏がLog4j(1)開発を1999年に開始
→Ralph Goers氏がアクティブに貢献し始める
→Ceki Gülcü氏がLog4jチームから追い出されて2006年からSLF4J/Logbackを開発
→Ralph Goers氏がSLF4J/Logbackに機能追加の提案したが取り込んで貰えず
→Ralph Goers氏がLog4j(1)の後継版として2009年からApache Log4j2プロジェクトを始める
→2014年にLog4j2正式版リリース
→2015年にLog4j(1)がEOL、ApacheはLog4j2への移行を推奨
→Ralph Goers氏セキュリティ的に筋の悪い機能の提案を軽率にLog4j2にマージしまくる
→Log4Shellで大炎上イマココ oracleがぶん獲ってからjavaオワコン加速したよな
なんだよあのライセンス制度 >>9
ちゃんと依存関係確認しとけ
2.2.1.RELEASEで確認したら2.12.1が使われとったぞ こないだJava更新したらteamsが変なんだが。
関係ある? 数学はlogでついていけなくなったわ
logァイ=ウがアをウ乗したらイになるとかそんなはずなのに
logアとか書かれたりするし そもそもstruts2は脆弱性出まくりで使ってる奴おるのかと >>90
Ralph Goers
ラルフ・ゴルァーズ? ■ このスレッドは過去ログ倉庫に格納されています