【Java】「Struts」などにも影響　Log4jにCVSSスコア「10.0」の脆弱性 [速報★]

**速報 ★** · 2021/12/14(火) 18:06:29.49

Apache Log4jにCVSSスコア「10.0」の脆弱性　国内で悪用を試みる通信も確認
Apache Log4jに任意コード実行の脆弱性が明らかになった。利用されているJavaシステムが多いことから影響範囲の広さが懸念されている。現状ではまだ不明点が多いが、すでに脆弱性を狙ったハッキングが確認されており、継続的な情報収集と対応が求められる。
2021年12月13日 16時33分公開
https://www.itmedia.co.jp/enterprise/articles/2112/13/news119.html

　この脆弱性を悪用するために特別な設定は不要で、「Apache Struts2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと。脆弱性の影響を受ける「Log4j」のバージョンはv2.0からv2.14.1まで
https://www.cvedetails.com/cve/CVE-2021-44228/

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:06:53.68

Strutsなんか使うな

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:07:23.24

あの7PayもStruts1を使っていたぞ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:08:26.67

Spring使えやハゲ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:09:06.36

CVSとVSSは結構使ってたけど今はGit

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:10:26.97

newsplusで異色のスレ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:11:03.99

便乗ハック禁止

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:11:06.40

日本の主流はstruts(ｷﾘｯ
流石IT先進国

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:11:30.82

SpringBootはデフォルトlogbackだから影響ないのな

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:12:10.15

今時Strutsとか他の脆弱性たくさんあるだろ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:13:20.78

javaって昔から穴だらけだな

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:13:42.93

このJava憎が！

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:14:21.81

solarも内包してんのか

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:15:27.94

log4jのあの仕様は誰得としか思えないけど需要あったのかね？

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:17:01.28

あ、こういうのもだんだん↓こうだろ

岸田、我が国における現状の説明はよ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:17:10.77

満点やん

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:17:12.28

apache懐かしいな

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:22:39.23

徹夜で調べなきゃ…(´・ω・`)

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:26:38.73

WildFlyなど、Apacheを組み込んでいるシステムだとどうなのかな？

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:26:47.10

java嫌い
javaの習得やたら進める会社とjava案件の地雷率

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:27:22.99

n88にしといた方がいいな！

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:29:47.25

ウェブサーバーのapache?

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:32:46.26

JavaとJavaScriptって何が違うの？

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:33:14.43

外部クラスを実行するのは便利だけどダメだろ。

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:34:39.64

まじかよstrutsって頭おかしいんか?
今どき生産性良い代替フレームワークいっぱいあるだろｗｗｗｗ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:37:15.90

ストラトスって何？

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:37:40.87

>>1
あれ使ってる奴まだいるのかよwww

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:37:56.97

これって動作的に見て脆弱性ではなく、意図的に悪意のあるコードが入ってるという理解の方がいいよな。
ある文字列をログに書き出したらやりたい放題できるとかそんなん脆弱性とは言わんわ
さらにそれが胡散臭い中華とかのサードパーティではなくApatch謹製のライブラリというのが深刻と思う。

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:38:01.54

知ってる、世界的サーバー管理ソフトだろ？www

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:38:25.91

ログ機能がデフォルトでこんな機能を有効にしているのは頭おかしい

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:40:09.53

そら10年20年と使い続けるしそう簡単には乗り換えないだろ

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:42:40.45

システム総入れ替え必要！？

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:55:38.40

>>8
詳しくないなら無理しないでもと思うぞ(´･ω･｀)

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:58:01.52

>>14
そのままだとなんでもオブジェクト取り込めちゃうしなあ
私の予想に反して、デフォのまま実装してる人は思ったより多かったでしょうか…

**ニューノーマルの名無しさん** · 2021/12/14(火) 18:59:21.05

こわい

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:00:30.49

Strutsとかなつかしいな
今もバージョンあがってんの

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:01:14.79

>>25
前から動いてるwwwサーバー

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:02:10.15

javaは客先常駐ばかりだから手を出さなくて良かった

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:10:55.17

eclipse自体もあれなんか？
最近つこてないからしらんけど
あとandroid studioとかはどうなんだろ

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:14:36.08

おかげで週末返上。

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:14:38.90

>>28
むかしopensslにも10年間放置されていた超致命的セキュリティホールがありましてw

発覚時はセキュリティ業界の誰もが「なんで誰も気づかなかった！」と震撼したものです
オープンソースとはそういうものという
前提で付き合わないといけないッス
よーするに開発・維持費にチェック分の工数と納期上乗せしてもらわんとあかんかと

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:20:38.55

世界的サーバー管理ソフトだもんなー

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:28:37.09

ただでさえ忙しい時期に忙しくさせられる報告出さないで！

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:32:05.17

森末かよ

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:37:48.99

Strutsが最新流行だった時代が懐かしい

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:39:33.70

歴史的脆弱性の発見はマインクラフトから胸厚

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:41:37.68

10って初めて見た

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:43:06.94

日本語で。

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:44:07.68

手抜きして野良ライブラリなんか使うからだ
ソフトウェアは言語本体の標準関数・ライブラリのみで作り上げるのが最も安全

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:46:04.39

>>49
それで日本がIT更新国に落ちぶれたんだよな

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:48:31.78

社内で利用してるサービスの提供元にこの脆弱性の影響の有無を聞いたら
当サービスで使ってるlog4jは1系なので問題ありません！
って自信たっぷりの返事が来て頭抱えてる

なんでそんな余計な情報までくれちゃうかなぁ

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:49:50.03

うるせぇよ
ブラックボックスほど信用できないものはない

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:50:42.01

>>49
それで何百人も集めて工数ばかり膨らむんですね

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:52:49.49

うちはSeasar2だから大丈夫だな

**ニューノーマルの名無しさん** · 2021/12/14(火) 19:56:30.68

>>49
去年、仕事でAppleWatchアプリ作ったけどフレームワーク組み込むのめんどくさくて全部標準機能で実装した。
Watch程度だとどうにかなるし、人に説明するのも楽だったし・・・

**ニューノーマルの名無しさん** · 2021/12/14(火) 20:15:34.18

ランチャストラトスターボ

**ニューノーマルの名無しさん** · 2021/12/14(火) 21:22:31.12

javaは動いてないが誰かの検証の残骸でライブラリは置かれてる…。影響なしでいいんだよな…？

**ニューノーマルの名無しさん** · 2021/12/14(火) 22:03:42.09

>>57
マイクラもハッキング～「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1373242.html

サーバーが乗っ取られると、任意のプログラムを実行できるようになるので
javaが動いてなくても、それに繋げてるクライアントまで危なくなるんだって

**ニューノーマルの名無しさん** · 2021/12/14(火) 22:29:22.29

>>50
更新してたら良かったんどけどねw

**ニューノーマルの名無しさん** · 2021/12/14(火) 22:35:48.42

>>57
> 「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できる

ひゃっはー、汚染文字列はエスケープで消毒だーみたいなやつか

**ニューノーマルの名無しさん** · 2021/12/14(火) 22:50:59.61

これ、韓国人が作り出した脆弱性らしいぞ・・・。

https://twitter.com/piro_or/status/1470708416918482950

＞2013年、Woonsan Koという人が、今回の脆弱性の原因となった機能を提案し、パッチを投稿した。

https://kowoonsan.blogspot.com/

Woonsan Ko
?? ??? ???
Woonsan on Open Source Software
自己紹介
業種テクノロジー
職業 Solution Architect
紹介 Committer, member at the Apache Software Foundation, working at Hippo, a BloomReach company.
https://twitter.com/5chan_nel (5ch newer account)

**ニューノーマルの名無しさん** · 2021/12/14(火) 23:00:08.86

CVSSスコア10って出るんだな。
おまえがチャンピオンだ、って感じだ。

**ニューノーマルの名無しさん** · 2021/12/14(火) 23:04:32.02

>>23
それがわからないカスが知る必要はない。

>>28
別にオブジェクト取り込んでログ処理することもあるからそのためには便利な機能だ。

付与ならばオプション設定して取り込み止めれば良いのだからそうしていないバカが多いのが問題。

**ニューノーマルの名無しさん** · 2021/12/14(火) 23:05:33.83

>>39
何もしらないカスが騒ぐな。

糞はしんどけど。

c · 2021/12/14(火) 23:06:13.92

>>62
最高点なん？

**ニューノーマルの名無しさん** · 2021/12/14(火) 23:06:28.32

>>60
単にURL書いてあったら持ってきて評価するという機能が問題なんだから、そうしないとすれば良いだけ。

**ニューノーマルの名無しさん** · 2021/12/14(火) 23:09:16.43

>>65
その通り。
かなり広範囲に利用されているものが、外部からの通信などでローカルのシステムを乗っ取られるとか停止されるとかなると10にはなる。

**ニューノーマルの名無しさん** · 2021/12/14(火) 23:57:28.74

これって某スマ◯OSには影響ないの？

**ニューノーマルの名無しさん** · 2021/12/15(水) 00:05:09.14

バックドア仕掛けられたらもう遅いからな

**ニューノーマルの名無しさん** · 2021/12/15(水) 00:06:12.69

strutsなんて化石で運用してるとこあるのか

**ニューノーマルの名無しさん** · 2021/12/15(水) 00:11:08.44

うちも今日これの問い合わせ多くて参った
Javaなんか使ってるシステムほとんどないから問題ないけど

**ニューノーマルの名無しさん** · 2021/12/15(水) 00:46:35.71

>>63
Javaごときでイキるなってｗ

大体脆弱なのはオマエラの頭

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:27:45.78

>>41
OSSムーブメントってたぶん騒いでお祭りにしたのはUNIX手に入らなかった共産圏もあるとおもう
西側諸国は貧乏人はPCUNIX使えたし業務にはメインフレームで十分だった

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:37:00.35

>>65
ここ１０年で最悪とか英文ページみると
何か色々書いてある。
何かそんな大騒ぎする事の程ではないと思ったんだけど
肝心な詳細が、まぁまだパッチ当て切ってない人も居るせいか
詳しい情報何も公開されてないからね
なんでそんなに米国CISAだとか、カナダCCCSだとか
ドイツBSIだとか各国政府機関が騒いでるのかいちピンとこない
のでググったら、なんか浸透されたエリアがどんどん拡大してる（？）だとか
よく分からん事書いてあったんで、更にググったら
サーバー抑えられると、クライアントまで波及するとか
変な事書かれてたな。

つかこれ、まだパッチ作成前だから公開してないだけで
まさかLog4jだけじゃない、他のログ取る奴に似たような虚弱性あるとか
凄い落ち無いよね？

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:39:38.38

ＣＯＣＯＡアプリでlog4j動いてたらどうしよう
ゲーム含めてp2pな機能があるとクライアントでも動いてそうな気がする

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:40:51.64

>>74
インテルのCPUにバックドアっぽいのがあってJAVAの何かが呼び出せるってのを見かけたことがある。

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:42:09.53

Javaなんて使うから

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:43:20.04

わたしWindows10だから平気

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:43:44.58

>>76
・・・これ、もしかして広域？

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:46:31.64

>>37
なにわらってんだよ！！！

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:47:06.62

>>78
Windows10にも、イベントログ( eventvwr.exe)
つーログ取機能はあるよ。

今回はログのセキュリティホールだから
理論上は、類似セキュリティホールがある可能性は・・・分らん。

**ニューノーマルの名無しさん** · 2021/12/15(水) 01:55:18.21

インテルMEの秘密 - チップセットに隠されたコードと、それが一体何をするかを見出す方法 - by イゴール・スコチンスキー - Igor Skochinsky
https://www.slideshare.net/codeblue_jp/me-32214055

**ニューノーマルの名無しさん** · 2021/12/15(水) 02:04:05.54

>>82
こういうオフィシャルバックドアみたいなのはどのチップにもあると言われている
法人端末の管理用であまり表に出てないだけで
AMDならいいでしょ！っていうひとが出てくると思うから補足

UEFIも危ないみたいな話もあるけどパソコンとスマホはそういうのもだとあきらめるしかないかもしれない

**ニューノーマルの名無しさん** · 2021/12/15(水) 02:08:07.78

>>82
すこちんすきー…いやいい

**ニューノーマルの名無しさん** · 2021/12/15(水) 02:23:15.80

>>23
そういうときはな、
JavaとJavascriptの違いはxxxだ、これ豆な
とでも書いておけば通りすがりのアホが訂正してくれるよ。

**ニューノーマルの名無しさん** · 2021/12/15(水) 03:35:58.67

なんで、サーバーの
スタンダードがJava になってしまったんだろ
誰がそうしたんだ？

開発環境に馬鹿みたいにリソースを食う
欠陥仕様

**ニューノーマルの名無しさん** · 2021/12/15(水) 03:43:44.62

log4j って、ロガーのスタンダードなのに、
なんで、今まで、誰も気づかなかったのたんだよ、って話

馬鹿なのは作った本人だか

**ニューノーマルの名無しさん** · 2021/12/15(水) 03:44:58.14

いつまでJava使ってんだよ

**ニューノーマルの名無しさん** · 2021/12/15(水) 04:23:14.50

Strutsはもうなあ

**ニューノーマルの名無しさん** · 2021/12/15(水) 06:12:21.52

Ceki Gülcü氏がLog4j(1)開発を1999年に開始
→Ralph Goers氏がアクティブに貢献し始める
→Ceki Gülcü氏がLog4jチームから追い出されて2006年からSLF4J/Logbackを開発
→Ralph Goers氏がSLF4J/Logbackに機能追加の提案したが取り込んで貰えず
→Ralph Goers氏がLog4j(1)の後継版として2009年からApache Log4j2プロジェクトを始める
→2014年にLog4j2正式版リリース
→2015年にLog4j(1)がEOL、ApacheはLog4j2への移行を推奨
→Ralph Goers氏セキュリティ的に筋の悪い機能の提案を軽率にLog4j2にマージしまくる
→Log4Shellで大炎上ｲﾏｺｺ

**ニューノーマルの名無しさん** · 2021/12/15(水) 07:21:08.14

>>90
セキュリティ関係者？

**ニューノーマルの名無しさん** · 2021/12/15(水) 07:40:13.93

oracleがぶん獲ってからjavaオワコン加速したよな
なんだよあのライセンス制度

**ニューノーマルの名無しさん** · 2021/12/16(木) 12:59:26.61

>>9
ちゃんと依存関係確認しとけ
2.2.1.RELEASEで確認したら2.12.1が使われとったぞ

**ニューノーマルの名無しさん** · 2021/12/16(木) 13:41:14.73

こないだJava更新したらteamsが変なんだが。
関係ある？

**ニューノーマルの名無しさん** · 2021/12/16(木) 13:45:41.67

数学はlogでついていけなくなったわ
logァイ=ウがアをウ乗したらイになるとかそんなはずなのに
logアとか書かれたりするし

**ニューノーマルの名無しさん** · 2021/12/16(木) 20:34:44.10

そもそもstruts2は脆弱性出まくりで使ってる奴おるのかと

**ニューノーマルの名無しさん** · 2021/12/17(金) 15:28:13.83

>>90
Ralph Goers
ラルフ・ゴルァーズ？