Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]

1 ：少考さん ★：2021/12/10(金) 19:30:35.24 ID:xiaBfHy29.net

※ITmedia NEWS

「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html

2021年12月10日 16時42分 公開

　Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる（Remote Code Execution, RCE）、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。

　例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。

　Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。

　この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。

　セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。

　脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな（外部からプログラムを取得する）機能が実装されていたのか」などの声が上がっている。

https://twitter.com/nullpo_head/status/1469152015637151745

（略）

※省略していますので全文はソース元を参照して下さい。
(deleted an unsolicited ad)

2 ：ニューノーマルの名無しさん：2021/12/10(金) 19:32:00.24 ID:SxVZM+Aa0.net

Javaは言語仕様が綺麗じゃないから嫌。
C#のほうが遥かに良い。

3 ：ニューノーマルの名無しさん：2021/12/10(金) 19:32:43.11 ID:T1iwrCAX0.net

ようこそJavaリパークへ

4 ：ニューノーマルの名無しさん：2021/12/10(金) 19:32:43.31 ID:Sr9zZ2eX0.net

マジかよやべえ…

5 ：ニューノーマルの名無しさん：2021/12/10(金) 19:33:34.75 ID:MwfLcoOL0.net

やべえな、これ

6 ：ニューノーマルの名無しさん：2021/12/10(金) 19:35:01.82 ID:2+nKzMR20.net

>>3
ホントのバグはここにある

7 ：ニューノーマルの名無しさん：2021/12/10(金) 19:35:03.35 ID:6m1cB8u50.net

>>2
アホ
後発の方が良い物が出来るに決まってんだろ
C＃はjavaとC＋＋から良いとこどりして作った言語だ

8 ：ニューノーマルの名無しさん：2021/12/10(金) 19:36:17.25 ID:v+3khSfn0.net

>>7
アホはお前だ
とっととブースター打って氏ねや

9 ：ニューノーマルの名無しさん：2021/12/10(金) 19:37:23.68 ID:SxVZM+Aa0.net

>>7
C#はDelphiをC言語風の文法にしたもの。
アーキテクチャはDelphiそのもの。

10 ：ニューノーマルの名無しさん：2021/12/10(金) 19:37:25.07 ID:bnuJteYL0.net

Javaオンでしか見れないページは糞ってことだねOK

11 ：ニューノーマルの名無しさん：2021/12/10(金) 19:37:29.53 ID:AXUy6gY90.net

log4j はちょっとヤバいな・・・

zlib の脆弱性のパニックに匹敵する範囲

12 ：ニューノーマルの名無しさん：2021/12/10(金) 19:38:13.16 ID:AXUy6gY90.net

>>9
Delphi の標準ライブラリにあるバグもそのまま移植されてるという笑い話

13 ：ニューノーマルの名無しさん：2021/12/10(金) 19:38:39.99 ID:02VVpUS80.net

独自のロガーを実装していた俺様埼京！（別の脆弱性の可能性は認める！）

14 ：ニューノーマルの名無しさん：2021/12/10(金) 19:38:55.43 ID:TReZ3Ler0.net

Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか

15 ：ニューノーマルの名無しさん：2021/12/10(金) 19:39:17.82 ID:02VVpUS80.net

>>10
今どきそんなページないよwww

16 ：ニューノーマルの名無しさん：2021/12/10(金) 19:39:19.55 ID:6m1cB8u50.net

>>8
俺は未接種だノータリン
無知にもほどがあるわ

17 ：ニューノーマルの名無しさん：2021/12/10(金) 19:39:28.54 ID:RNk5Bsir0.net

これは祭りが始まるな

18 ：ニューノーマルの名無しさん：2021/12/10(金) 19:40:46.53 ID:M7eh7uKK0.net

VMのくせに任意コード実行とかされるの？

19 ：ニューノーマルの名無しさん：2021/12/10(金) 19:41:14.57 ID:24CVN+Hv0.net

>>1
数か月前からマイクラの2b2tサーバで悪用されてたやつかw

20 ：ニューノーマルの名無しさん：2021/12/10(金) 19:41:29.49 ID:VX1IsPR20.net

Webアプリの実装調査しないとダメになりそうだな。
入力文字をログ出力なんてしてないと思うけど。

21 ：ニューノーマルの名無しさん：2021/12/10(金) 19:41:39.27 ID:vTyWE6A80.net

マインクラフトがしばらく出来ない？

22 ：ニューノーマルの名無しさん：2021/12/10(金) 19:42:38.00 ID:7A4MdNQQ0.net

>>12
でもMicrosoftはいいものを買ったよな
Borlandの言語部門なんて

23 ：ニューノーマルの名無しさん：2021/12/10(金) 19:42:56.56 ID:bkTfFcZz0.net

世界中のITエンジニアが徹夜だなこりゃあ

24 ：ニューノーマルの名無しさん：2021/12/10(金) 19:45:08.97 ID:8lS8jKuS0.net

>>7
結局C#が良いって言ってんじゃん

25 ：ニューノーマルの名無しさん：2021/12/10(金) 19:45:12.29 ID:KWgGdpXY0.net

同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな

26 ：ニューノーマルの名無しさん：2021/12/10(金) 19:45:33.09 ID:6m1cB8u50.net

>>9
↓を読んでみ
https://ufcpp.net/study/csharp/cheatsheet/ap_ver1/

27 ：ニューノーマルの名無しさん：2021/12/10(金) 19:45:45.93 ID:5cK26Bdg0.net

あー月曜が憂鬱すぎる・・・・これ結構面倒そう

28 ：ニューノーマルの名無しさん：2021/12/10(金) 19:46:20.88 ID:VzaQ/eNL0.net

なんでログライブラリがこんなセキュリティホールになるんよ

どんな処理しとん？

29 ：ニューノーマルの名無しさん：2021/12/10(金) 19:46:42.72 ID:z2HejKx10.net

マイクラはオープンなマルチとかじゃなければ大丈夫なのかな

Steamはかなりまずそうだが

30 ：ニューノーマルの名無しさん：2021/12/10(金) 19:47:36.51 ID:MwfLcoOL0.net

>>27
こんなの知らんぷりしとけよ

31 ：ニューノーマルの名無しさん：2021/12/10(金) 19:48:14.61 ID:9u4Gh7J10.net

>>18
JNDI という、クラスを動的に呼び出す機能がある。

32 ：ニューノーマルの名無しさん：2021/12/10(金) 19:48:29.79 ID:0qyM7wX40.net

有無　ようわからん
これ使われているのはどのシステムなんですか？

33 ：ニューノーマルの名無しさん：2021/12/10(金) 19:48:40.55 ID:2kFjuvbV0.net

これ、とりあえず使ってるライブラリーやら何か全部調べろになるんだろうね。

34 ：ニューノーマルの名無しさん：2021/12/10(金) 19:49:46.79 ID:AXUy6gY90.net

>>22
delphi のアイデアを思いついて実装した開発者１人が移籍しただけ

35 ：ニューノーマルの名無しさん：2021/12/10(金) 19:50:15.81 ID:+XS9e9yz0.net

ハウス Javaカレー

36 ：ニューノーマルの名無しさん：2021/12/10(金) 19:50:21.35 ID:bnuJteYL0.net

>>15
stopcovid19.metro.tokyo.lg.jp

37 ：ニューノーマルの名無しさん：2021/12/10(金) 19:50:32.50 ID:9u4Gh7J10.net

>>32
サーバサイドのJavaアプリはまず入ってると思っていい。

38 ：ニューノーマルの名無しさん：2021/12/10(金) 19:50:58.18 ID:7A4MdNQQ0.net

>>32
Javaのプログラムがログファイルを生成するためのライブラリだから
業務用のシステムではほとんど使ってるんじゃね？

39 ：ニューノーマルの名無しさん：2021/12/10(金) 19:51:06.00 ID:z2HejKx10.net

そもそも5chは大丈夫なん？

40 ：ニューノーマルの名無しさん：2021/12/10(金) 19:51:35.97 ID:XHSPlzCK0.net

(･∀･;)きついな

41 ：ニューノーマルの名無しさん：2021/12/10(金) 19:52:25.39 ID:4W1ogC3A0.net

バグがない言語なんてないよ

42 ：ニューノーマルの名無しさん：2021/12/10(金) 19:52:54.68 ID:MwfLcoOL0.net

ログ出力にコマンド埋め込んで実行できるってこと？
まあ、ログ出力コードがバグってなきや大丈夫だろ

43 ：ニューノーマルの名無しさん：2021/12/10(金) 19:53:29.89 ID:XHSPlzCK0.net

>>23
(･∀･;)ｱｰｱｰｷｺｴﾅｲｷｺｴﾅｲ

44 ：ニューノーマルの名無しさん：2021/12/10(金) 19:53:54.67 ID:AXUy6gY90.net

>>32
ちゃんとした人が開発するJava製システムの９割以上は使ってるくらいの
まず最初に組み込むレベル

この手の使わないとトラブル対応やデバッグなんかの効率が100倍遅くなるレベル

45 ：ニューノーマルの名無しさん：2021/12/10(金) 19:54:46.85 ID:l5YyS2WB0.net

windows pc でパンピーが使う java アプレットはセーフ？

46 ：ニューノーマルの名無しさん：2021/12/10(金) 19:54:57.20 ID:02VVpUS80.net

>>36
どこでJavaアプレットつこてるの？

47 ：ニューノーマルの名無しさん：2021/12/10(金) 19:55:03.88 ID:8lS8jKuS0.net

>>42
サニタイズやってくれてんだろー
って甘えてなけりゃな

48 ：ニューノーマルの名無しさん：2021/12/10(金) 19:55:23.69 ID:jLrUYUSu0.net

5chにlog4jが使われてたら特定の書き込みをしてログに記録された後好きなコード実行し放題か。10年以上よくこの脆弱性見つからなかったな。

49 ：ニューノーマルの名無しさん：2021/12/10(金) 19:55:32.27 ID:LK0MPF0p0.net

エンタープライズはJava！って言い続けるおじさんお疲れ様です

50 ：ニューノーマルの名無しさん：2021/12/10(金) 19:55:35.35 ID:pxDhHm1y0.net

>1
> なぜこんな（外部からプログラムを取得する）機能が実装されていたのか

お前らプログラマがコピペ上等でロクに精査してねえからだろ
そもそもライブラリって他人がつくったものだろうに

51 ：ニューノーマルの名無しさん：2021/12/10(金) 19:56:22.20 ID:7A4MdNQQ0.net

>>48
Java使ってたっけ？

52 ：ニューノーマルの名無しさん：2021/12/10(金) 19:56:57.45 ID:AXUy6gY90.net

>>42
大規模で並列性が上がるほど飛んできた生データはキッチリ記録したくなる
それにかかるストレージ費用のコストは気にするな！ って

53 ：ニューノーマルの名無しさん：2021/12/10(金) 19:57:16.98 ID:7A4MdNQQ0.net

起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サー

54 ：ニューノーマルの名無しさん：2021/12/10(金) 19:57:17.85 ID:MwfLcoOL0.net

>>51
androidアプリはjavaじゃね？

55 ：ニューノーマルの名無しさん：2021/12/10(金) 19:57:28.37 ID:8lS8jKuS0.net

>>50
全部スクラッチなんかコストかかり過ぎるわ

56 ：ニューノーマルの名無しさん：2021/12/10(金) 19:58:08.79 ID:AXUy6gY90.net

>>51
逆アセンブルでソースコードに変換できちゃう系は排除されたけど
昔は色々あった

57 ：ニューノーマルの名無しさん：2021/12/10(金) 19:58:34.56 ID:7A4MdNQQ0.net

>>53
途中で送信してしもた
暫定回避策は見つかったようだな
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1373242.html

58 ：ニューノーマルの名無しさん：2021/12/10(金) 19:58:42.23 ID:VzaQ/eNL0.net

>>55
ログぐらいは大してかからんだろ

59 ：ニューノーマルの名無しさん：2021/12/10(金) 19:59:07.44 ID:ufbUZ9/H0.net

log4j2なら大丈夫？

60 ：ニューノーマルの名無しさん：2021/12/10(金) 20:00:24.74 ID:gk5WykzZ0.net

BDのメニューもJava使ってたような

61 ：ニューノーマルの名無しさん：2021/12/10(金) 20:00:58.97 ID:7A4MdNQQ0.net

>>54
クライアントアプリでは関係ないだろ

62 ：ニューノーマルの名無しさん：2021/12/10(金) 20:01:19.43 ID:XHSPlzCK0.net

>>57
(･∀･;)やめられない止められない

63 ：ニューノーマルの名無しさん：2021/12/10(金) 20:03:59.89 ID:LVNak4DP0.net

1に貼ってある元記事の手順見るとめちゃくちゃ簡単だな

64 ：ニューノーマルの名無しさん：2021/12/10(金) 20:06:58.99 ID:/MxhFImo0.net

Javaもう入れてないわ

65 ：ニューノーマルの名無しさん：2021/12/10(金) 20:08:15.97 ID:9u4Gh7J10.net

>>63
${jdgi:ldap:// ・・・てログに出るように仕掛けるだけでいいように見えるね。

66 ：ニューノーマルの名無しさん：2021/12/10(金) 20:08:17.81 ID:OG8+5JVr0.net

>>1
またオラクルやらかしてんのか

67 ：ニューノーマルの名無しさん：2021/12/10(金) 20:09:19.73 ID:OG8+5JVr0.net

オープンオフィスもjavaだよな

68 ：ニューノーマルの名無しさん：2021/12/10(金) 20:11:07.35 ID:7A4MdNQQ0.net

ワクチンの冷凍庫のコードを抜いたのは>>25だったのか！

69 ：ニューノーマルの名無しさん：2021/12/10(金) 20:14:06.89 ID:SnB5rDrh0.net

まじかよ

70 ：ニューノーマルの名無しさん：2021/12/10(金) 20:17:43.55 ID:749exbgq0.net

>>26
JavaとVBからの影響はほぼない。
仮想マシン上で動かすことぐらい。
Delphi使いがC#を書けばわかるが違和感が全然ない。

71 ：ニューノーマルの名無しさん：2021/12/10(金) 20:19:13.33 ID:24IRiW6h0.net

困るのは企業だけ？
個人レベルで困ったり対策した方がいいことある？

72 ：ニューノーマルの名無しさん：2021/12/10(金) 20:26:51.82 ID:02VVpUS80.net

>>71
中身がJavaVMとlog4jで動くアプリを使ってないか
アプリの情報表示や公式サイトでチェック

73 ：ニューノーマルの名無しさん：2021/12/10(金) 20:37:04.72 ID:LeJYSdSv0.net

java笑、ruby笑
原始人かよwww
ワロタw

74 ：ニューノーマルの名無しさん：2021/12/10(金) 20:37:49.80 ID:rN04paMq0.net

ふぅ
log4netで助かったぜ・・・

75 ：ニューノーマルの名無しさん：2021/12/10(金) 20:40:05.62 ID:qh/FRjVm0.net

log4jでログ出力してたらアウト？

76 ：ニューノーマルの名無しさん：2021/12/10(金) 20:41:07.02 ID:62YszSH+0.net

年明けまで内緒にしとけばいいのに

77 ：ニューノーマルの名無しさん：2021/12/10(金) 20:42:15.09 ID:l5YyS2WB0.net

俺がネット始めた頃はjavascriptでサイト閲覧者のクリップボードを
取得出来るのがデフォだったぞ、今考えるとMicrosoft頭おかしいだろ

78 ：ニューノーマルの名無しさん：2021/12/10(金) 20:47:33.18 ID:24IRiW6h0.net

>>72
ありがとう
ちょっとよく分からないから賢い人がどうにかしてくれるの待つわ

79 ：ニューノーマルの名無しさん：2021/12/10(金) 20:48:59.11 ID:2OWWKKQS0.net

>>75
アウトじゃない？サーバー側から外部に出れないようにしていれば、多少はまし？

80 ：ニューノーマルの名無しさん：2021/12/10(金) 20:51:35.78 ID:2OWWKKQS0.net

>>76
githubを見ていると脆弱性自体は10日以上前に公開されていたっぽい。攻撃用ツールが公開されたんで拙くなってきたんかね。

81 ：ニューノーマルの名無しさん：2021/12/10(金) 20:51:46.52 ID:9u4Gh7J10.net

>>79
LDAPサーバにある悪意のあるクラスを取得して実行しちゃうようだから、インターネットにアウトバウンドできなければ、とりあえずセーフなのかな。

82 ：ニューノーマルの名無しさん：2021/12/10(金) 20:53:56.34 ID:qh/FRjVm0.net

>>79
そうか・・う〜。。。
対象バージョンの範囲広いしこれ本当にやばい

https://www.lunasec.io/docs/blog/log4j-zero-day/
Affected Apache log4j Versions?
2.0 <= Apache log4j <= 2.14.1

83 ：ニューノーマルの名無しさん：2021/12/10(金) 20:54:05.88 ID:HhWTvVAz0.net

>>1
正直クライアントが何か言うまで無視か
これでまた儲ける

84 ：ニューノーマルの名無しさん：2021/12/10(金) 20:59:41.91 ID:0GRh/F+e0.net

ＶＭ言語で、しかも今のサーバーアプリって仮想コンテナ、ＯＳ on ＯＳ
みたいな仕組みらしいやん、それくぐり抜けるん？
アクロバティックやねえ

85 ：ニューノーマルの名無しさん：2021/12/10(金) 21:01:33.25 ID:iS4n5uBm0.net

開発班に支那畜がいたんじゃねえか？

86 ：ニューノーマルの名無しさん：2021/12/10(金) 21:01:55.01 ID:GuAxisyt0.net

Javaはウィルス

87 ：ニューノーマルの名無しさん：2021/12/10(金) 21:06:07.74 ID:BxsWubO90.net

ホロ鯖もアウトか

88 ：ニューノーマルの名無しさん：2021/12/10(金) 21:08:30.65 ID:uvcv5iKI0.net

どうせ麻雀とテトリス以外の用途ねえからchromeでも動くようにしろよ

89 ：ニューノーマルの名無しさん：2021/12/10(金) 21:11:17.94 ID:dJtOf/oX0.net

まじかよ、やめてくれよ週明け影響調査させられたらたまったもんじゃない

90 ：ニューノーマルの名無しさん：2021/12/10(金) 21:17:04.29 ID:YcRKBKS10.net

開き直ってLog4jはBug4uへ

91 ：ニューノーマルの名無しさん：2021/12/10(金) 21:19:37.50 ID:kH4QK4uq0.net

log4jってApacheのログ出力とかにも組み込まれてるよな
割といろんなところで使われてた気がする

92 ：ニューノーマルの名無しさん：2021/12/10(金) 21:20:56.27 ID:dshRebB10.net

>>84
SQLインジェクションみたいな感じやろ

93 ：ニューノーマルの名無しさん：2021/12/10(金) 21:23:45.00 ID:02VVpUS80.net

>>78
どういたしまして
有名所のアプリなら公式サイトのお知らせチェックして、アップデートとかすればいいと思う

マイナーなアプリは必須でなければ
安全確認取れるまで
しばらく利用見合わせるのおすすめ

ちなみにアプリだけでなくてネトゲとか
加入してるネットサービスも同じね

94 ：ニューノーマルの名無しさん：2021/12/10(金) 21:29:30.38 ID:ba+iYdBg0.net

今までのjava案件で100%使ってるわ、知ったこっちゃねーけど

95 ：ニューノーマルの名無しさん：2021/12/10(金) 21:32:41.26 ID:uaCy1Ync0.net

>>1
バックドアだろ

96 ：ニューノーマルの名無しさん：2021/12/10(金) 21:34:50.86 ID:GVTxl5fi0.net

Log4j使ってるシステム大量にあるだろな
頑張って

97 ：ニューノーマルの名無しさん：2021/12/10(金) 21:39:19.12 ID:GVTxl5fi0.net

泥アプリも使ってるの結構あるかもな

98 ：ニューノーマルの名無しさん：2021/12/10(金) 21:43:31.61 ID:w22TVaB30.net

これブラウザでJAVA機能オフにするとかそういうレベルの話じゃないんよね？
何をどーしといたらいいです？

99 ：ニューノーマルの名無しさん：2021/12/10(金) 21:45:47.76 ID:O2UdbH700.net

log4jなんて使われてないシステムの方が少なくね？

100 ：ニューノーマルの名無しさん：2021/12/10(金) 21:45:48.67 ID:btyIUjd70.net

ふしあなさん

101 ：ニューノーマルの名無しさん：2021/12/10(金) 21:46:43.03 ID:dshRebB10.net

>>99
ｘｍｌで設定ができるから便利なんよ

102 ：ニューノーマルの名無しさん：2021/12/10(金) 21:46:52.41 ID:GVTxl5fi0.net

>>91
自前のソフトはまだいいけど使ってるサードパーティやライブラリは全部調べないとな
ちゃんとしたところだと早々に通達が行くはず

103 ：ニューノーマルの名無しさん：2021/12/10(金) 21:47:31.55 ID:8lS8jKuS0.net

>>98
パッチ

104 ：ニューノーマルの名無しさん：2021/12/10(金) 21:53:02.96 ID:LFMMZWUc0.net

俺が関わったJAVA案件では尽く使われてるな

105 ：ニューノーマルの名無しさん：2021/12/10(金) 21:54:25.74 ID:fN9Au/Xf0.net

一通り探してlog4j使ってないと結論づけたけど
本当に大丈夫なのかわかんないな
依存ライブラリが使ってるかはdependency tree見ればいいのか？

106 ：ニューノーマルの名無しさん：2021/12/10(金) 21:56:03.62 ID:0GRh/F+e0.net

>>92
あれはHTTPのリクエストを契機にＳＱＬ実行みたいなやつやわな

これはログの書き込みが契機なわけやから外部というより内部犯行向き？
重要情報がどこかに筒抜けみたいな？

107 ：ニューノーマルの名無しさん：2021/12/10(金) 21:57:24.05 ID:dshRebB10.net

ゾッとするからワク信をバカにするスレへ移動

108 ：ニューノーマルの名無しさん：2021/12/10(金) 21:58:23.56 ID:2OWWKKQS0.net

>>106
外から操作できるんでね？どっかにツールが公開されてるはず。

109 ：ニューノーマルの名無しさん：2021/12/10(金) 21:59:37.44 ID:MoPbejuE0.net

マイクラの方は半日で対応版出したので、もう大丈夫

110 ：ニューノーマルの名無しさん：2021/12/10(金) 22:01:02.31 ID:K8LjUxH50.net

Java.util.loggerはok?

111 ：ニューノーマルの名無しさん：2021/12/10(金) 22:01:12.59 ID:w22TVaB30.net

>>103
取り敢えず注視してみます
ありがとう

112 ：ニューノーマルの名無しさん：2021/12/10(金) 22:03:14.84 ID:Wi/1ALeK0.net

ウチはslf4j(Logback)だったわ

113 ：ニューノーマルの名無しさん：2021/12/10(金) 22:04:58.06 ID:fN9Au/Xf0.net

SLF4JとLogbackは2021年現在では積極採用しない方が良い
https://blog.kengo-toda.jp/entry/2021/05/31/200807

こんな記事見つけて、ふ〜んと思ったわ
結果論だけど

114 ：ニューノーマルの名無しさん：2021/12/10(金) 22:06:41.94 ID:pifgwHz70.net

これまた随分メジャー所で・・・

115 ：ニューノーマルの名無しさん：2021/12/10(金) 22:09:31.94 ID:901K2pVY0.net

Javaってまーーーだロガーの競争やってんのかい
いい加減言語機能に入れて統一するべき

116 ：ニューノーマルの名無しさん：2021/12/10(金) 22:26:47.93 ID:e178f9d80.net

steamは何とかしろや

あとはどうでもいいが

117 ：ニューノーマルの名無しさん：2021/12/10(金) 22:29:49.01 ID:gwMGnIMm0.net

1に乗ってる例は、Webサーバが普通のWebアクセスのログを1行出力したらアウト、っていう手順だからね

何らかの文字列を記録する処理があって、その文字列にユーザー側から送り付けられる文字列が含まれてたら、それだけで終わる仕組み

118 ：ニューノーマルの名無しさん：2021/12/10(金) 22:41:50.91 ID:k93R7YXk0.net

今日はたまたまlog4jsの調査をしていた。
こっちは流石に関係ねえだろうなｗ

119 ：ニューノーマルの名無しさん：2021/12/10(金) 22:49:26.12 ID:/OjzUyew0.net

なんかヤバげな感じだな

120 ：ニューノーマルの名無しさん：2021/12/10(金) 23:00:28.85 ID:fN9Au/Xf0.net

logbackにまで飛び火すると俺がヤバいから震えてる

121 ：ニューノーマルの名無しさん：2021/12/10(金) 23:05:09.17 ID:WCKsIEuL0.net

ゲ、使いまくってるわ
しーらね

122 ：ニューノーマルの名無しさん：2021/12/10(金) 23:06:45.45 ID:Kfjz/GtZ0.net

企業のサイトがウイルスだらけになったりすんの？

123 ：ニューノーマルの名無しさん：2021/12/10(金) 23:19:08.18 ID:u9AqzWrh0.net

もう終わりだよこの言語

124 ：ニューノーマルの名無しさん：2021/12/10(金) 23:35:02.14 ID:gs/VEvuj0.net

>>115
slf4jにほぼ統一された
出力ロガー任意に選べるし

125 ：ニューノーマルの名無しさん：2021/12/10(金) 23:35:42.44 ID:gs/VEvuj0.net

>>120
安心しろ大丈夫、検証済み

126 ：ニューノーマルの名無しさん：2021/12/10(金) 23:43:34.91 ID:Zuzm37vS0.net

うわぁぁぁぁぁぁぁやばい奴

127 ：ニューノーマルの名無しさん：2021/12/10(金) 23:44:21.07 ID:Zuzm37vS0.net

つか楽天ってJava使いまくりじゃね？

128 ：ニューノーマルの名無しさん：2021/12/10(金) 23:45:04.30 ID:n+OX7nGB0.net

これがあるからJava入れたくねえのよね

129 ：ニューノーマルの名無しさん：2021/12/10(金) 23:57:34.12 ID:2uKRzZaX0.net

>>75
アウトだな
実害あるかどうか関係なしに使ってるだけでアウト
テスト工程の脆弱性チェックなんてそんなもん

130 ：ニューノーマルの名無しさん：2021/12/10(金) 23:58:16.67 ID:O5wtkn3h0.net

日系メーカーの「独自のフレームワーク」に多用されてそうな予感
でもって政府系のお友達発注がグダグダでまたもや…

131 ：ニューノーマルの名無しさん：2021/12/10(金) 23:59:25.64 ID:2uKRzZaX0.net

開発なんてとっくにやめて偉そうに講釈垂れてるだけの立場になったので気楽だわw
お前ら開発者には同情してる

132 ：ニューノーマルの名無しさん：2021/12/11(土) 00:02:37.16 ID:9HbtY0cD0.net

大晦日・正月返上で再デプロイ祭りかな？

133 ：ニューノーマルの名無しさん：2021/12/11(土) 00:06:39.28 ID:AYusnyNh0.net

すげえな。バグじゃなく機能なのか

特定のキーワードを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードする機能が実装されてる

ゲームとかだとチャットとか入力できるものでログに記録させるだけでダウンロードさせてコード実行させれるとか

134 ：ニューノーマルの名無しさん：2021/12/11(土) 00:08:19.91 ID:Hoie+6+s0.net

バックドアじゃん

135 ：ニューノーマルの名無しさん：2021/12/11(土) 00:09:34.76 ID:Cbblmw150.net

4jっていうくらいだから日本鯖狙い撃ちか

136 ：ニューノーマルの名無しさん：2021/12/11(土) 00:30:42.02 ID:ECmvqtwA0.net

何でロガーにこんなやっかいな機能があるんだよ。週明けは間違いなく会社が祭になってるわ。勘弁して。

137 ：ニューノーマルの名無しさん：2021/12/11(土) 00:35:41.39 ID:wF8D/3xM0.net

じゃあ寝るから朝までには治しといてくれな。

138 ：ニューノーマルの名無しさん：2021/12/11(土) 00:37:30.67 ID:mI44H4lb0.net

今はkotlinで書く方が多かったりするのかね？

139 ：ニューノーマルの名無しさん：2021/12/11(土) 00:38:52.77 ID:buyjttcK0.net

動作確認には便利そうな機能だなｗｗｗｗ

140 ：ニューノーマルの名無しさん：2021/12/11(土) 00:40:27.37 ID:YJ0JWtTv0.net

文字吐くだけの野郎が実はそんな強えのか

141 ：ニューノーマルの名無しさん：2021/12/11(土) 00:42:34.49 ID:ufAmTFoQ0.net

バグじゃなくてわざとなのがタチ悪いな
Log4jの信頼性ダダ下がり

142 ：ニューノーマルの名無しさん：2021/12/11(土) 01:04:33.71 ID:joObT1kd0.net

こういうのって十分時間を空けてから公開されるもんじゃないの?

143 ：ニューノーマルの名無しさん：2021/12/11(土) 01:49:32.75 ID:q+17H9gi0.net

サイバー兵器として仕込まれた脆弱性というだけのこと
カードは1枚ずつ切って行く

144 ：ニューノーマルの名無しさん：2021/12/11(土) 02:11:01.29 ID:1hWnMRJ00.net

>>141
これな
なんでわざわざこんなの仕込んでるんだか

145 ：ニューノーマルの名無しさん：2021/12/11(土) 02:31:41.02 ID:5lRkpP7F0.net

>>142
どういう経緯で発覚したんだこれ
タイミング的にも今まで被害が報告されてなかったのもなんか怪しいよな

146 ：ニューノーマルの名無しさん：2021/12/11(土) 03:44:38.50 ID:itmQF3LX0.net

もう終わりだ猫の国

147 ：ニューノーマルの名無しさん：2021/12/11(土) 03:47:58.91 ID:2vrRiEav0.net

自称天才プログラマーのお前らに聞くけど、修正版が出るまで何日くらい掛かりそう？

148 ：ニューノーマルの名無しさん：2021/12/11(土) 04:04:37.22 ID:gzJb9O2b0.net

>>147
SIでも無くて申し訳ないけど、BigTechならすぐに対応してくれる(じゃないとマジでヤバすぎるので)。
でかいシステムは1ヶ月かかったりするかもね…
根幹だし…。

問題はあまりに広範囲かつどこでも使われてるから、実は使われてましたー！なんてのが平気で起こること。やばいのよ。

149 ：ニューノーマルの名無しさん：2021/12/11(土) 04:06:58.66 ID:xg4gQcuX0.net

悪用？される前に発覚して良かったな

150 ：ニューノーマルの名無しさん：2021/12/11(土) 04:10:34.68 ID:gzJb9O2b0.net

>>142
本来はそう。0-dayにならないように慎重なはず。

発見の発端になったPullRequestはこれ

Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub
ttps://github.com/apache/logging-log4j2/pull/608

151 ：ニューノーマルの名無しさん：2021/12/11(土) 04:17:06.62 ID:gzJb9O2b0.net

>>149
悪用済みやで
(中国とかだとビットコイン送信とかさせてるという噂)

なので、みんな必死に対応しとる

あと >>150でPRでバレたと言ったけど、そもそもあまりにバカみたいに簡単に任意コード実行可能な話では！？となったのでバレちゃった感じかもしれん(詳しい背景事情はわからん)

152 ：ニューノーマルの名無しさん：2021/12/11(土) 04:24:16.71 ID:7tggEtuf0.net

アメリカさんへ

こういうのも　バックドア　と言うんですよね

153 ：ニューノーマルの名無しさん：2021/12/11(土) 04:25:01.18 ID:7tggEtuf0.net

あぁ　全世界のＳＥＸ産業って　コワイね

154 ：ニューノーマルの名無しさん：2021/12/11(土) 04:28:49.08 ID:7tggEtuf0.net

三国人の反米のカルト国際犯罪テロリストの連中は

これで　マジだったか　と　理解できたのだろうよ

ｗｗｗｗｗｗ

155 ：ニューノーマルの名無しさん：2021/12/11(土) 04:33:13.82 ID:hE7acYYO0.net

ログ出力とか汎用的すぎてやばいな
日本の基幹サーバも全滅か

156 ：ニューノーマルの名無しさん：2021/12/11(土) 04:45:04.18 ID:jANN6gRF0.net

発生機構見たが、似たような穴をもってるやつが他にも居そう

157 ：ニューノーマルの名無しさん：2021/12/11(土) 04:52:14.95 ID:9yaJavHY0.net

忙しくなりそうだw

158 ：ニューノーマルの名無しさん：2021/12/11(土) 04:56:41.84 ID:AGxdik810.net

上手いこと権限奪取できたら夢のrm -rf も可能?

159 ：ニューノーマルの名無しさん：2021/12/11(土) 05:05:24.44 ID:FABHEOij0.net

中国人やロシア人がマージ権限持ってるやつは全部危ないってことじゃんｗ

160 ：ニューノーマルの名無しさん：2021/12/11(土) 05:28:56.70 ID:Vi7zEmdw0.net

iCloudがJava使ってるのに驚き

161 ：ニューノーマルの名無しさん：2021/12/11(土) 05:33:13.55 ID:sZk33niw0.net

えー、みんな今時logbackじゃ無いの？

162 ：ニューノーマルの名無しさん：2021/12/11(土) 06:39:46.27 ID:0M6hYOaw0.net

>>161
今時じゃないプロジェクトが生き残ってるんだよ

163 ：ニューノーマルの名無しさん：2021/12/11(土) 07:02:39.68 ID:+D0AyeWV0.net

いやいや、ソース公開なら外部コード実行部を洗い出すだろーがよ！で、そこ潰して再構築。
提供するサービスに不要ならそうするのが普通じゃねーのかよ(笑)
念の為にそこに来た場合の引数テキストに吐き出しておくのがせいぜいだな
コールスタックも必要なら書き出す

つーかマジで世界中のIT技術者の質が落ちてねえか？ソース引っ張ってきて実装するだけとかPG以下だぞ？(笑)

164 ：ニューノーマルの名無しさん：2021/12/11(土) 07:04:33.68 ID:zs5Uwvzz0.net

まだ、被害報告されてないよね？
コイン発掘とかに使われているとCPU負荷が上がるだけで気づかれにくい？

165 ：ニューノーマルの名無しさん：2021/12/11(土) 07:14:38.30 ID:zs5Uwvzz0.net

>>163
スターの数とか見てみんな使ってるから大丈夫って判断してるからなー
そもそもバグを踏まない限り他所のライブラリのコードなんて読まないし
リフレクション系のクラスなんて使っているところはザラにあるよね

166 ：ニューノーマルの名無しさん：2021/12/11(土) 07:19:38.75 ID:Kyf6bhOD0.net

>>64
>>67
サーバーサイドの話だ

167 ：ニューノーマルの名無しさん：2021/12/11(土) 07:20:50.40 ID:Kyf6bhOD0.net

>>161
納品して動いているから厄介なんだろ
納品したことないんだろ

168 ：ニューノーマルの名無しさん：2021/12/11(土) 08:03:09.71 ID:cv4IS/An0.net

うへ、来週で良いやな

169 ：ニューノーマルの名無しさん：2021/12/11(土) 08:13:56.53 ID:8vgsq6TU0.net

>>59
だめ

170 ：ニューノーマルの名無しさん：2021/12/11(土) 09:09:51.09 ID:hE7acYYO0.net

認知のコードってJUMP命令一行でシステムダウンさせられるのか

171 ：ニューノーマルの名無しさん：2021/12/11(土) 09:18:27.15 ID:4IC7yaMN0.net

>>168
金融や大手じゃなけりゃ数ある中から狙われる可能性は少ないからな

172 ：ニューノーマルの名無しさん：2021/12/11(土) 09:58:15.16 ID:qIORoh8f0.net

これSIer全滅レベルのヤバいやつじゃね？
業務系のJavaシステム全部該当するだろ。

173 ：ニューノーマルの名無しさん：2021/12/11(土) 10:24:04.93 ID:SHE7BVPl0.net

デスマーチ全国大会のお知らせ

174 ：ニューノーマルの名無しさん：2021/12/11(土) 12:24:59.51 ID:jANN6gRF0.net

しかし、log中に置換パターン入れられると便利だとはいえ ldap サーバから
class ファイルまで取り込んで実行できるとは

175 ：ニューノーマルの名無しさん：2021/12/11(土) 13:10:33.91 ID:SQKQ8pQt0.net

>>163
世の中、お前が思ってるほど暇じゃねーんだわ。
他人の書いたコードなんか眺めて楽しいかよ。

動かしてから確認しろっつうの。
セキュリティが心配なら脆弱性診断受けろっつうの。

176 ：ニューノーマルの名無しさん：2021/12/11(土) 13:15:51.18 ID:zI0iJq+B0.net

ヤバいと言っても変な実行命令が書かれてるソフトをインストしない限り問題ない
ゲーム系はMODで変なのを入れない限り問題ない
ヤバいってのはWindowsアップデートの再起不能バグみたいのを言うんだわ

177 ：ニューノーマルの名無しさん：2021/12/11(土) 13:35:00.15 ID:VXxn+cPP0.net

核ミサイルが世界中で発射されまくる位じゃないと納得せんぞ
この手の話はいつも期待はずれだ

178 ：ニューノーマルの名無しさん：2021/12/11(土) 15:06:24.93 ID:xxsu57Ti0.net

カズクラが荒らし荒らし騒いでたのはこれか？

179 ：ニューノーマルの名無しさん：2021/12/11(土) 15:40:12.14 ID:Oy4Qwzkp0.net

だからJavaなんてそもそもマナー違反なんだから
これに懲りたらさっさと捨てろっつーの

180 ：ニューノーマルの名無しさん：2021/12/11(土) 15:45:04.70 ID:h7is28LN0.net

ま〜た来週、前の会社から教えてくださいの電話がかかってくるのか。
俺の後任で採ったSEがパソコンもロクに使えないレベルの超絶無能らしい。彼に職場PCのJDKを入れ替えるなんて無理だろう。

今度から電話応対1分10000円取るからな。

181 ：ニューノーマルの名無しさん：2021/12/11(土) 15:47:00.70 ID:EtE4QiAy0.net

log4jかよヤベエな

使ってないシステムないんじゃないか

182 ：ニューノーマルの名無しさん：2021/12/11(土) 15:48:45.17 ID:EtE4QiAy0.net

>>147
もう出とるっつの

183 ：ニューノーマルの名無しさん：2021/12/11(土) 15:49:24.23 ID:h7is28LN0.net

>>2
構造体が使えちゃったり、
staticメソッドの継承ができなかったり、
double型の除算がデフォルトで銀行丸めだったり、
Java使いが触ると「えっ？」ってのはある。

184 ：ニューノーマルの名無しさん：2021/12/11(土) 16:09:56.28 ID:KwnxtSxY0.net

仕様らしいけど、じゃあどういう目的でこんな機能を実装してたんだろう。本来意図してたユースケースが知りたいよ。

185 ：ニューノーマルの名無しさん：2021/12/11(土) 16:52:50.19 ID:FZd6tGX70.net

>>135
JapanのjじゃなくてJavaのjだから全世界共通

186 ：ニューノーマルの名無しさん：2021/12/11(土) 17:17:26.49 ID:PgYK0upW0.net

>>161
正直ログになに使ってるとかどうでもいいこと気にしない

187 ：ニューノーマルの名無しさん：2021/12/11(土) 17:27:39.20 ID:DrEB7eEI0.net

クライアント側で出来る対策はなく
サーバー対応まちってこと？

188 ：ニューノーマルの名無しさん：2021/12/11(土) 17:29:08.96 ID:tCYu/hc30.net

マジかこれ

189 ：ニューノーマルの名無しさん：2021/12/11(土) 17:37:41.76 ID:RzK5OJSQ0.net

Borlandと言えば、Turbo C++愛用してた

190 ：ニューノーマルの名無しさん：2021/12/11(土) 17:44:11.28 ID:QH4WMF8b0.net

Log4か
有名ライブラリだから影響でかいな

191 ：ニューノーマルの名無しさん：2021/12/11(土) 18:03:06.26 ID:0cUUKij60.net

log4jサーバにメッセージごりごり複数のプロセスで送ったら
割と簡単にハングアップして解析するのいやになって内製しよう
と提案していま安泰です

あ、log4cxxはつこうてます

192 ：ニューノーマルの名無しさん：2021/12/11(土) 18:44:12.14 ID:joObT1kd0.net

>>150
オープンソースだから修正内容を誰でも見られて悪用しようと思えばできちゃうってことかな
むつかしいね

193 ：ニューノーマルの名無しさん：2021/12/11(土) 18:47:48.41 ID:x+6yYkdd0.net

Javaは使われすぎててやばいな

194 ：ニューノーマルの名無しさん：2021/12/11(土) 18:57:59.47 ID:PwNLwC2y0.net

誰だ、うちはバージョン1系だから安全ですなんてドヤ顔で言ってるのは

195 ：ニューノーマルの名無しさん：2021/12/11(土) 19:02:00.02 ID:VLWU9Ksr0.net

古いlog4j使ってたらきついな
枯れたライブラリだから更新もしてない

196 ：ニューノーマルの名無しさん：2021/12/11(土) 19:47:08.31 ID:fC82kQ3t0.net

log4jってlog for javaの略なんだぜ

197 ：ニューノーマルの名無しさん：2021/12/11(土) 20:05:55.27 ID:AxuPmYwX0.net

北朝鮮のサイバー攻撃って日本より発達してるんやで
知らん日本人はびっくりこくやで

198 ：ニューノーマルの名無しさん：2021/12/11(土) 20:29:16.42 ID:I+37HYYZ0.net

>>2
C#はメソッド名を大文字で始めるのが受け入れられなかった

199 ：ニューノーマルの名無しさん：2021/12/11(土) 20:32:44.01 ID:lVfXN9bG0.net

コロナウイルスに例えると？

200 ：ニューノーマルの名無しさん：2021/12/11(土) 20:38:28.70 ID:aowJyqRZ0.net

Python一択

201 ：ニューノーマルの名無しさん：2021/12/11(土) 20:56:03.64 ID:hE7acYYO0.net

時には車輪の再発明した方がコストがかからん事もあるんだな

202 ：ニューノーマルの名無しさん：2021/12/11(土) 21:01:28.39 ID:kuiO2sKN0.net

バージョンアップできなきゃアウトじゃないか

203 ：ニューノーマルの名無しさん：2021/12/11(土) 21:16:55.77 ID:HoYN+ZLX0.net

>>191
logback使えよ
ロガー内製とか正気か

204 ：ニューノーマルの名無しさん：2021/12/11(土) 21:20:56.98 ID:OPB/krpi0.net

これのせいで呼び出しくらったわ

205 ：ニューノーマルの名無しさん：2021/12/11(土) 21:23:52.34 ID:SFGx7zKM0.net

>>176
これはサーバーサイドのバグ。
クレカ情報預けてるWebサイトがLog4j使ってたら、パスワードとかワンタイムパスワードとか全部すっ飛ばして直接クレカ情報抜かれる、ってこと。

206 ：ニューノーマルの名無しさん：2021/12/11(土) 21:28:40.01 ID:SFGx7zKM0.net

攻撃者が設置したサーバにLog4jがアクセスすることで攻撃コードが読み込まれる、だから、外向き通信を無制限に許可するのを止めたらだいたい止められる。

207 ：ニューノーマルの名無しさん：2021/12/11(土) 21:47:59.28 ID:tVxgNLiH0.net

>>203
logback 良さげやな
良いの教えてくれてサンクスコ

208 ：ニューノーマルの名無しさん：2021/12/11(土) 22:29:09.72 ID:jAJYLSwh0.net

外側へのLDAPアクセスを閉じるだけじゃダメなん？
影響範囲大き過ぎて対応できねえよ

209 ：ニューノーマルの名無しさん：2021/12/11(土) 22:50:54.70 ID:qELMhJho0.net

>>199
文字列見た人間が全員コロナ感染
重症って書いてあったら重症になるし、死ぬって書いてあったら死ぬ

210 ：ニューノーマルの名無しさん：2021/12/11(土) 22:52:48.24 ID:/Zt0VZlP0.net

これは使ってるとろこ多いからやばい

211 ：ニューノーマルの名無しさん：2021/12/11(土) 22:53:09.42 ID:SFGx7zKM0.net

>>208
ゼロデイのうちはそれでだいたい防げるけど、例えば443で待ってるLDAPを攻撃者が立て始めたらHTTPS想定で外行き443を開けてるとこは食らうようになる。
全閉じ出来ないけどライブラリ更新も出来ない、って状況ならIPSかWAF入れて守るしかない。

212 ：ニューノーマルの名無しさん：2021/12/11(土) 23:00:23.72 ID:4tjEOsuQ0.net

Webフォームにコマンド入力してサーバーがログ出力してたら実行されるってこと？

213 ：ニューノーマルの名無しさん：2021/12/11(土) 23:04:23.36 ID:qELMhJho0.net

>>212
UserAgentがだいたいログにでるからWebフォームとか不要だぞ
UserAgent書き換えてGET一発で行ける

214 ：ニューノーマルの名無しさん：2021/12/12(日) 00:03:06.65 ID:A3oya4QH0.net

最強やん

215 ：ニューノーマルの名無しさん：2021/12/12(日) 00:08:07.82 ID:8w5+OdqG0.net

やばいのは間違いないけれども、システムを利用している会社の担当者が、
システムを開発した会社なり、サーバーを管理している会社なりに問い合わせて
Log4jだけ入れ替える程度で、あっさり解決する可能性も一応あるよね。
ただ担当者がこのニュースを見てうちのシステムJavaじゃなかったっけとか考えずに、
業者が対応してくれるまで放置するケースもかなり多そうなので、
ダメな業者と契約していた会社は大きな被害を被ってご愁傷様かもしれない…

216 ：ニューノーマルの名無しさん：2021/12/12(日) 00:35:26.49 ID:aCoPQ9dL0.net

>>215
でもJavaだし

217 ：ニューノーマルの名無しさん：2021/12/12(日) 00:38:00.56 ID:TFZiFJF90.net

CIとか入れてなさそうよねぇ
JAVA多い現場は

218 ：ニューノーマルの名無しさん：2021/12/12(日) 00:42:25.16 ID:edZfp/AY0.net

jndiな被害になりそうだな

219 ：ニューノーマルの名無しさん：2021/12/12(日) 00:44:40.57 ID:seeUjF0u0.net

>>54
端末がサーバーみたいな動きすることはあるよ
Androidはlog4j積んでないの？
WindowsクライアントでIISが起動しちゃう脆弱性みたいなの

220 ：ニューノーマルの名無しさん：2021/12/12(日) 00:45:06.91 ID:oBvzQDC/0.net

>>218
審議拒否

221 ：ニューノーマルの名無しさん：2021/12/12(日) 00:53:50.27 ID:vlY5DPqD0.net

>>189
C++builder

222 ：ニューノーマルの名無しさん：2021/12/12(日) 00:57:44.11 ID:5NHbXWh80.net

脆弱性対応やベーな。。。
マジかぁ、、、

223 ：ニューノーマルの名無しさん：2021/12/12(日) 00:59:13.54 ID:zSVicvG70.net

1.x系もヤバいん？
うちの古くさいシステム改修したくないんだけど

224 ：ニューノーマルの名無しさん：2021/12/12(日) 01:13:08.20 ID:TMDTAhfW0.net

実際に被害を受ける攻撃方法を教えてほしい。
特定ポートへの攻撃？

225 ：ニューノーマルの名無しさん：2021/12/12(日) 01:43:33.58 ID:WF2IMd9s0.net

これでも飲んで餅つけ！
https://www.youtube.com/watch?v=NP1WTu3RGpo

226 ：ニューノーマルの名無しさん：2021/12/12(日) 01:47:24.93 ID:h5YS9Y8f0.net

>>223
1.x系はJMS Appender以外Lookup機能がないからJMS Appender使ってなければ本件はセーフだけど、
1.x系はそもそも2年前のCVE-2019-17571でアウトだぞ

>>224
UserAgentを変更するだけで、アクセスしたサーバがrm -rf /されるブラウザが出来上がるぞ
証拠残すと自分の人生も消えるが

227 ：ニューノーマルの名無しさん：2021/12/12(日) 02:11:26.20 ID:YioXlAov0.net

>>2
インターフェイスの実装（ミックスイン）とか、switch式とか、
最近のC#ってJavaの後追いをしてない？

228 ：ニューノーマルの名無しさん：2021/12/12(日) 03:47:01.13 ID:wgXgxHzK0.net

>>226
UserAgentをログに書き出していると、ハッカーがHTTPクライアントを自作してrm -rfをログに書き出せるのは分かる。
でも、それが実行されちゃうっていうのは、どういう仕組なの？バグにしても分からないわ。

229 ：ニューノーマルの名無しさん：2021/12/12(日) 05:56:13.87 ID:11osM6Qh0.net

何でこんな脆弱性というか機能あるんだろうな。怖過ぎるわ。

230 ：ニューノーマルの名無しさん：2021/12/12(日) 06:52:08.56 ID:seeUjF0u0.net

ゲームなんかでも端末アプリ上でlog4j動いてるのはありそうだよね

不正ユーザーのアカウント削除にも使えそうだし

231 ：ニューノーマルの名無しさん：2021/12/12(日) 07:11:55.82 ID:M60uGOyE0.net

>>229
生き物が生まれた時点から死に向かっているのと同じくらい当たり前のことだよ

232 ：ニューノーマルの名無しさん：2021/12/12(日) 07:27:34.40 ID:7+E0oTEJ0.net

どんぐらいヤバいのかわからん
これが動くってこと？
exec("rm -rf */*");

233 ：ニューノーマルの名無しさん：2021/12/12(日) 07:39:46.19 ID:/N1hEdBm0.net

人類補〇計画ってこと？

234 ：ニューノーマルの名無しさん：2021/12/12(日) 07:59:45.49 ID:0nPenU320.net

>>28
1に書いてあるだろ読めよカスw

235 ：ニューノーマルの名無しさん：2021/12/12(日) 08:00:45.96 ID:mNdB+Cj00.net

>>229
ログ出力ライブラリの中に通信機能を持ってるとは思わないよな

236 ：ニューノーマルの名無しさん：2021/12/12(日) 08:06:15.62 ID:HlddjVvR0.net

影響受ける製品まとめきれるのかこれ？
各ベンダーも調査中やしどうしろと？

237 ：ニューノーマルの名無しさん：2021/12/12(日) 08:50:19.18 ID:8YSYn87Z0.net

>>232
Java使ってるほぼ全てのプロダクトに任意のコード実行できる
rmどころの話じゃない
そこからDDoSとかもやりたい放題

238 ：ニューノーマルの名無しさん：2021/12/12(日) 10:38:56.50 ID:TFZiFJF90.net

https://www.lunasec.io/docs/blog/log4j-zero-day/

https://blog.cloudflare.com/how-cloudflare-security-responded-to-log4j2-vulnerability/

この辺の解説がわかりやすかった

239 ：ニューノーマルの名無しさん：2021/12/12(日) 10:43:57.98 ID:JqIR7fJs0.net

特定のオンラインショップ利用したらクレカ不正利用続出とかは
これのせいかもしれんな…

240 ：ニューノーマルの名無しさん：2021/12/12(日) 10:45:29.07 ID:TFZiFJF90.net

>>235
であればロギングサーバは外部に接続しに行けないように
VPCなりファイアウォールで囲っておくべきだし
そうしてれば本件の攻撃を受けても何も起きない訳だが、

そこまでちゃんとやってる現場の方がレアよなぁ多分

241 ：ニューノーマルの名無しさん：2021/12/12(日) 10:52:38.93 ID:yfXLrWfx0.net

>>235
ディスクが死んだ時や侵入された際にログの喪失や改ざんを防ぐために
別ノードにログを記録する機能はJavaより昔からある

242 ：ニューノーマルの名無しさん：2021/12/12(日) 10:58:35.08 ID:6ELphMBX0.net

>>239
あれはEC-CUBEのXSS脆弱性放置がほとんど。
入力文字列全部取られるからセキュリティコード保管するしない関係ないし
店としては正常に取引できてるから気付きづらい。

243 ：ニューノーマルの名無しさん：2021/12/12(日) 11:24:54.31 ID:rkVpASb10.net

パスワードをそのままログに書き出すなんてことはしないだろうけど
IDなんかはやってそう

244 ：ニューノーマルの名無しさん：2021/12/12(日) 11:27:34.98 ID:rBp0dljz0.net

20年以上も放置され続けて来たのかよ
プログラマーも馬鹿しかいないんだな

245 ：ニューノーマルの名無しさん：2021/12/12(日) 12:15:25.24 ID:ZlFLja0V0.net

どこの誰かも分からないユーザーが与えたテンプレート文字列を評価・実行できるようにしてあるのが頭おかしい設計
普通はそんなことしないでしょ

OWASPでも脆弱性になる原因として挙げられてるぞ

Unsafe use of Reflection
https://owasp.org/www-community/vulnerabilities/Unsafe_use_of_Reflection

246 ：ニューノーマルの名無しさん：2021/12/12(日) 12:17:00.13 ID:BvIJz3wc0.net

たかがロガーにいらん機能つけるから

247 ：ニューノーマルの名無しさん：2021/12/12(日) 12:35:45.17 ID:Zf+V8y3e0.net

slf4jだから実装を置き換えるだけ
影響はlog4jみたいな古いライブラリを使いっぱなしのメンテしてないシステムだけ

248 ：ニューノーマルの名無しさん：2021/12/12(日) 13:25:47.48 ID:JqIR7fJs0.net

>>209
いやああ

249 ：ニューノーマルの名無しさん：2021/12/12(日) 14:11:56.95 ID:TFZiFJF90.net

>>244
インフラとか諸々多面的にペストプラクティスを遵守してれば
問題にはならない話ではある

ただPGのせい、にして片付く話では無い

250 ：ニューノーマルの名無しさん：2021/12/12(日) 14:33:52.50 ID:QHjlJw0k0.net

>>249
外部サービスとインターネット経由で連携するのが自然になり、サーバーレスでIPが可変になるのが自然になった世の中だから、アウトバウンドの通信に制限をかけるのはかなり難しくなってるよ。
ただのログライブラリにLDAPサーバーとの通信機能なんて付けてるのは明らかにおかしいわ。

251 ：ニューノーマルの名無しさん：2021/12/12(日) 14:56:08.13 ID:TFZiFJF90.net

>>250
明示的に必要な通信以外は
デフォルトDENYであるべきで。

iaasにk8sとかコンテナオーケストレーションが
当たり前になった今だからこそやり易い事かと思うよ

252 ：ニューノーマルの名無しさん：2021/12/12(日) 15:01:10.20 ID:TFZiFJF90.net

「付いてるのはおかしい」の考え方では防げない事で、

「何が付いてるかわからないからALLOW設定を厳密に制御」の考え方なら防げたわけで。

これは仕様がおかしかった話だけど、
悪意あるソフトウェアが混入される可能性は
全てのユニットについて考慮しないといけない時代なんだと思うよ。

well-architectedの考え方ってその辺すごく重要視されてる

253 ：ニューノーマルの名無しさん：2021/12/12(日) 16:17:57.75 ID:YioXlAov0.net

>>7
新しいもののほうが優れていることは多いが、それが必ずしも普及するわけではないんですぜ旦那。

254 ：ニューノーマルの名無しさん：2021/12/12(日) 16:21:04.46 ID:rcX4xk0Z0.net

こんなに訳がわからんスレ初めてだわ
何言ってんだかさっぱりわかんねえ

255 ：ニューノーマルの名無しさん：2021/12/12(日) 16:23:25.21 ID:Zkj4IMQY0.net

まじか
iCloudもMinecraftいいがSteamは困る

256 ：ニューノーマルの名無しさん：2021/12/12(日) 16:27:01.19 ID:FX3LHpY00.net

チャットインジェクションか新しいなｗ

257 ：ニューノーマルの名無しさん：2021/12/12(日) 16:34:14.27 ID:l8I8iGOa0.net

これは逆に中国ロシアもやばいのでは？

258 ：ニューノーマルの名無しさん：2021/12/12(日) 16:39:03.78 ID:pAgi0RX50.net

>>36
JavaとJavaScriptを混同してるバカが久しぶりに来たか？

259 ：ニューノーマルの名無しさん：2021/12/12(日) 17:06:27.39 ID:YioXlAov0.net

>>254
その「 何言ってんだかさっぱりわかんねえ」奴が年功序列で上がれて
企業の上層部で決裁権を振りかざしているのが中世国家ジャップランドなんだわ。

260 ：ニューノーマルの名無しさん：2021/12/12(日) 17:17:08.74 ID:CRW5x+HH0.net

まじかよアパッチ族最低だな

261 ：ニューノーマルの名無しさん：2021/12/12(日) 20:26:38.64 ID:KPr52wTX0.net

>>259
手を動かす労働を他に押し付けるのを労働だと思ってるやつが上に行く

262 ：ニューノーマルの名無しさん：2021/12/12(日) 21:34:49.74 ID:TFZiFJF90.net

>>261
それは経営

263 ：ニューノーマルの名無しさん：2021/12/13(月) 00:52:21.61 ID:dGv6iFMj0.net

Javaの無料文化面倒だよな。
悪貨が良貨を駆逐してる。

264 ：ニューノーマルの名無しさん：2021/12/13(月) 02:28:23.98 ID:PV3uvtyf0.net

https://www.slideshare.net/codeblue_jp/me-32214055
たぶんこっちを内蔵できたからlog4jはもういらないのかもしれない

265 ：ニューノーマルの名無しさん：2021/12/13(月) 11:14:53.71 ID:clT/gcMU0.net

tomcatがlog4jなのかorz

266 ：ニューノーマルの名無しさん：2021/12/13(月) 14:50:07.01 ID:glj8vle90.net

このニュース知らずに偶然今日休み取ったわい勝ち組
誰かが検証してあかん出来てしもたってメールが飛んでたのは見てしまったけど

267 ：ニューノーマルの名無しさん：2021/12/13(月) 15:06:27.25 ID:Z7cpNsZ00.net

しかし強いぜ負けないぜ

268 ：ニューノーマルの名無しさん：2021/12/13(月) 15:56:58.81 ID:IXS742TU0.net

>>263
Javaって有料に向かってるんじゃなかったっけ？
だから今は代替えなににするかって魚竿してるはず

269 ：ニューノーマルの名無しさん：2021/12/13(月) 16:16:14.83 ID:Eyxu+6Qu0.net

>>268
オラクルは無料に戻したよ

270 ：ニューノーマルの名無しさん：2021/12/13(月) 17:04:37.60 ID:QZt07gOg0.net

問題のコードを書いたのはWoonsan Ko
ハングルが母国語みたいですね。

271 ：ニューノーマルの名無しさん：2021/12/13(月) 18:42:35.65 ID:7BtYijdF0.net

致命的なバグにもいろいろあるけれど、今回のは最悪の場合、会社の命が断たれるタイプの「致命」なんで、コロナの話とかどうでもいいんで、テレビのニュースのトップにしてほしい。
それに、スマートスピーカーに侵入されて盗聴されたりする可能性もないとは言えないし、個人でも普通に関係のある人はいそう。
しかし、21世紀に入ってから最悪のバグかもしれないのに、世間の反応が薄い。薄すぎる。
ここ6年以内に新しいシステムを導入した会社の担当者は、急いでLog4j2を使ってないか確認しろと、何のトラブルもなくても今すぐ確認しろと、誰か教えてあげてください。
ひろゆきもどうでもいいことを論破してる暇があったら、こういう時にがんばれと…

272 ：ニューノーマルの名無しさん：2021/12/13(月) 19:04:49.49 ID:cqcnu5Ol0.net

興味本位でバグを付く輩がいるから、そうならないように情報絞ってんじゃないかね、好意的に考えれば

単にどんくらいやばいのか、わからんだけだとは思うけど

273 ：ニューノーマルの名無しさん：2021/12/13(月) 19:27:24.56 ID:QZt07gOg0.net

情報絞ってなんかいない。
あまりにイージー過ぎてヤバすぎる。
もしIT系エンジニアで理解できていないなら転職すべきレベル。

274 ：ニューノーマルの名無しさん：2021/12/13(月) 19:57:54.30 ID:nYGll0gl0.net

>>269
そうなのね、ちょっと情報集めておくか

275 ：ニューノーマルの名無しさん：2021/12/13(月) 20:39:41.08 ID:d5N1wjHx0.net

うちんとこはもうこの話題で持ちきりだったわ
さすがに理解してないアホはいなかったけど
Javaの案件は今はほぼ無いけど既存システム全部チェックする様に即通達出た

276 ：ニューノーマルの名無しさん：2021/12/13(月) 21:36:49.55 ID:ySZZmJAN0.net

とりあえずlookupは使ってないから起動オプションの変更で対応することにしたわ
まあそもそも外向けの通信は閉じてるサーバがほとんどで即日対応は少ないんだけど脆弱性の内容が理解できないジジイ対応に疲れた

277 ：ニューノーマルの名無しさん：2021/12/13(月) 22:05:55.89 ID:4SGohcZL0.net

>>276
乙乙でした

システムよりジジィ対応にカロリー使われるの
ホント勘弁よなぁ

278 ：ニューノーマルの名無しさん：2021/12/13(月) 23:03:16.82 ID:BjhgWA8b0.net

まぁでもソフトウェア仕事ってそこにカロリーを使うのが本質なのかもしれんよ。
なんも知らんジジイとかど素人さんとか。
プロしかあいてしないのは、むしろアマチュアの遊びといっていいかも

279 ：ニューノーマルの名無しさん：2021/12/13(月) 23:17:46.93 ID:QZt07gOg0.net

日本の生産性が低い理由がわかるな

280 ：ニューノーマルの名無しさん：2021/12/13(月) 23:53:26.81 ID:/PlOK12m0.net

無い無い

伸びてる会社はみんなコードに明るい

281 ：ニューノーマルの名無しさん：2021/12/14(火) 00:30:16.66 ID:1eALayzf0.net

>>280
いわゆるIT奴隷はバカな客やら上司に説明しないといけない

282 ：ニューノーマルの名無しさん：2021/12/14(火) 00:33:48.97 ID:ZrUNak9Z0.net

詳しいことはよく分からん一般人は何をしておくのがいい?
適当につかってるソフトにも脆弱性があるかも知れんのよね

283 ：ニューノーマルの名無しさん：2021/12/14(火) 01:14:12.41 ID:RDg76TTN0.net

>>281
転職せえよそんなとこ

まともで稼ぎも良い職場いくらでもあるのに

284 ：ニューノーマルの名無しさん：2021/12/14(火) 01:49:45.76 ID:y5QjcEau0.net

Apache Struts を使用もやばいやんけ

285 ：ニューノーマルの名無しさん：2021/12/14(火) 02:14:26.42 ID:1eALayzf0.net

>>283
お前は何も分かってない

SIerの仕事の方が内製の仕事より圧倒的に給与がよい

286 ：ニューノーマルの名無しさん：2021/12/14(火) 09:08:09.26 ID:kVDPimYf0.net

よくこんなの見つけられるな

287 ：ニューノーマルの名無しさん：2021/12/14(火) 11:49:59.08 ID:fyETclMx0.net

log4jのスポンサー、たった三人しかいなかった

288 ：ニューノーマルの名無しさん：2021/12/14(火) 22:51:23.12 ID:RDg76TTN0.net

>>285
お前が言うならそうなんだろう

289 ：ニューノーマルの名無しさん：2021/12/15(水) 07:08:09.33 ID:y+5l2/ea0.net

落ち着いたな

290 ：ニューノーマルの名無しさん：2021/12/15(水) 07:30:31.45 ID:Bp7R73x40.net

>>271
ひろゆきが口にすると自身の関与を疑われそう

291 ：ニューノーマルの名無しさん：2021/12/15(水) 08:55:07.98 ID:MqecPaA00.net

つこてへんし

292 ：ニューノーマルの名無しさん：2021/12/15(水) 08:58:02.51 ID:t7GV2e550.net

うわぁ、このクソ忙しいときに、超めんどくせぇ。

293 ：ニューノーマルの名無しさん：2021/12/15(水) 09:08:46.77 ID:FH5sJLTP0.net

こんな誰得な機能をなぜわざわざ盛り込んだのか
よく見つけたな

294 ：ニューノーマルの名無しさん：2021/12/15(水) 10:46:44.81 ID:3p6ejYcR0.net

iCloudはアプリの方だよね？
サーバ側は問題ないとは思うけど
まさかJavaで書いてあったとは
ネイティブでマルチプラットフォーム対応してないのは怪しい可能性があるってことかな

295 ：ニューノーマルの名無しさん：2021/12/15(水) 10:51:33.22 ID:3p6ejYcR0.net

スチームとかマイクラのもっさり感はJavaっぽいなとは思ってたけど
そういうアプリって結構あるよね
アレとかアレとか

296 ：ニューノーマルの名無しさん：2021/12/15(水) 10:53:01.68 ID:0P5oGVLn0.net

>>85
この脆弱性発見したのがアリババだからむしろ感謝すべき

297 ：ニューノーマルの名無しさん：2021/12/15(水) 10:57:11.69 ID:3p6ejYcR0.net

ボタンとかUIの形状にもJavaクライアントだとクセがあるし分かりやすい

298 ：ニューノーマルの名無しさん：2021/12/15(水) 10:58:43.59 ID:FsHBZZw+0.net

JAV　日本エロ動画
ジャパニーズアダルトビデオの略

299 ：ニューノーマルの名無しさん：2021/12/15(水) 12:03:07.66 ID:/fNoaR/90.net

「アダルトビデオ」が国外で通用するのか？

300 ：ニューノーマルの名無しさん：2021/12/15(水) 12:08:39.68 ID:Mt+SJwMC0.net

もう世界で通用する言葉になってるんじゃないの？

301 ：ニューノーマルの名無しさん：2021/12/15(水) 12:32:15.25 ID:zTQ6RyYe0.net

>>294
いやサーバ側でしょ

302 ：ニューノーマルの名無しさん：2021/12/15(水) 12:40:19.58 ID:3p6ejYcR0.net

>>301
マジですか
ストラッツって使ってるとこ多いのかな