■ このスレッドは過去ログ倉庫に格納されています
Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [少考さん★]
- 1 :少考さん ★:2021/12/10(金) 19:30:35.24 ID:xiaBfHy29.net
- ※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
https://twitter.com/nullpo_head/status/1469152015637151745
(略)
※省略していますので全文はソース元を参照して下さい。
(deleted an unsolicited ad)
- 2 :ニューノーマルの名無しさん:2021/12/10(金) 19:32:00.24 ID:SxVZM+Aa0.net
- Javaは言語仕様が綺麗じゃないから嫌。
C#のほうが遥かに良い。
- 3 :ニューノーマルの名無しさん:2021/12/10(金) 19:32:43.11 ID:T1iwrCAX0.net
- ようこそJavaリパークへ
- 4 :ニューノーマルの名無しさん:2021/12/10(金) 19:32:43.31 ID:Sr9zZ2eX0.net
- マジかよやべえ…
- 5 :ニューノーマルの名無しさん:2021/12/10(金) 19:33:34.75 ID:MwfLcoOL0.net
- やべえな、これ
- 6 :ニューノーマルの名無しさん:2021/12/10(金) 19:35:01.82 ID:2+nKzMR20.net
- >>3
ホントのバグはここにある
- 7 :ニューノーマルの名無しさん:2021/12/10(金) 19:35:03.35 ID:6m1cB8u50.net
- >>2
アホ
後発の方が良い物が出来るに決まってんだろ
C#はjavaとC++から良いとこどりして作った言語だ
- 8 :ニューノーマルの名無しさん:2021/12/10(金) 19:36:17.25 ID:v+3khSfn0.net
- >>7
アホはお前だ
とっととブースター打って氏ねや
- 9 :ニューノーマルの名無しさん:2021/12/10(金) 19:37:23.68 ID:SxVZM+Aa0.net
- >>7
C#はDelphiをC言語風の文法にしたもの。
アーキテクチャはDelphiそのもの。
- 10 :ニューノーマルの名無しさん:2021/12/10(金) 19:37:25.07 ID:bnuJteYL0.net
- Javaオンでしか見れないページは糞ってことだねOK
- 11 :ニューノーマルの名無しさん:2021/12/10(金) 19:37:29.53 ID:AXUy6gY90.net
- log4j はちょっとヤバいな・・・
zlib の脆弱性のパニックに匹敵する範囲
- 12 :ニューノーマルの名無しさん:2021/12/10(金) 19:38:13.16 ID:AXUy6gY90.net
- >>9
Delphi の標準ライブラリにあるバグもそのまま移植されてるという笑い話
- 13 :ニューノーマルの名無しさん:2021/12/10(金) 19:38:39.99 ID:02VVpUS80.net
- 独自のロガーを実装していた俺様埼京!(別の脆弱性の可能性は認める!)
- 14 :ニューノーマルの名無しさん:2021/12/10(金) 19:38:55.43 ID:TReZ3Ler0.net
- Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか
- 15 :ニューノーマルの名無しさん:2021/12/10(金) 19:39:17.82 ID:02VVpUS80.net
- >>10
今どきそんなページないよwww
- 16 :ニューノーマルの名無しさん:2021/12/10(金) 19:39:19.55 ID:6m1cB8u50.net
- >>8
俺は未接種だノータリン
無知にもほどがあるわ
- 17 :ニューノーマルの名無しさん:2021/12/10(金) 19:39:28.54 ID:RNk5Bsir0.net
- これは祭りが始まるな
- 18 :ニューノーマルの名無しさん:2021/12/10(金) 19:40:46.53 ID:M7eh7uKK0.net
- VMのくせに任意コード実行とかされるの?
- 19 :ニューノーマルの名無しさん:2021/12/10(金) 19:41:14.57 ID:24CVN+Hv0.net
- >>1
数か月前からマイクラの2b2tサーバで悪用されてたやつかw
- 20 :ニューノーマルの名無しさん:2021/12/10(金) 19:41:29.49 ID:VX1IsPR20.net
- Webアプリの実装調査しないとダメになりそうだな。
入力文字をログ出力なんてしてないと思うけど。
- 21 :ニューノーマルの名無しさん:2021/12/10(金) 19:41:39.27 ID:vTyWE6A80.net
- マインクラフトがしばらく出来ない?
- 22 :ニューノーマルの名無しさん:2021/12/10(金) 19:42:38.00 ID:7A4MdNQQ0.net
- >>12
でもMicrosoftはいいものを買ったよな
Borlandの言語部門なんて
- 23 :ニューノーマルの名無しさん:2021/12/10(金) 19:42:56.56 ID:bkTfFcZz0.net
- 世界中のITエンジニアが徹夜だなこりゃあ
- 24 :ニューノーマルの名無しさん:2021/12/10(金) 19:45:08.97 ID:8lS8jKuS0.net
- >>7
結局C#が良いって言ってんじゃん
- 25 :ニューノーマルの名無しさん:2021/12/10(金) 19:45:12.29 ID:KWgGdpXY0.net
- 同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな
- 26 :ニューノーマルの名無しさん:2021/12/10(金) 19:45:33.09 ID:6m1cB8u50.net
- >>9
↓を読んでみ
https://ufcpp.net/study/csharp/cheatsheet/ap_ver1/
- 27 :ニューノーマルの名無しさん:2021/12/10(金) 19:45:45.93 ID:5cK26Bdg0.net
- あー月曜が憂鬱すぎる・・・・これ結構面倒そう
- 28 :ニューノーマルの名無しさん:2021/12/10(金) 19:46:20.88 ID:VzaQ/eNL0.net
- なんでログライブラリがこんなセキュリティホールになるんよ
どんな処理しとん?
- 29 :ニューノーマルの名無しさん:2021/12/10(金) 19:46:42.72 ID:z2HejKx10.net
- マイクラはオープンなマルチとかじゃなければ大丈夫なのかな
Steamはかなりまずそうだが
- 30 :ニューノーマルの名無しさん:2021/12/10(金) 19:47:36.51 ID:MwfLcoOL0.net
- >>27
こんなの知らんぷりしとけよ
- 31 :ニューノーマルの名無しさん:2021/12/10(金) 19:48:14.61 ID:9u4Gh7J10.net
- >>18
JNDI という、クラスを動的に呼び出す機能がある。
- 32 :ニューノーマルの名無しさん:2021/12/10(金) 19:48:29.79 ID:0qyM7wX40.net
- 有無 ようわからん
これ使われているのはどのシステムなんですか?
- 33 :ニューノーマルの名無しさん:2021/12/10(金) 19:48:40.55 ID:2kFjuvbV0.net
- これ、とりあえず使ってるライブラリーやら何か全部調べろになるんだろうね。
- 34 :ニューノーマルの名無しさん:2021/12/10(金) 19:49:46.79 ID:AXUy6gY90.net
- >>22
delphi のアイデアを思いついて実装した開発者1人が移籍しただけ
- 35 :ニューノーマルの名無しさん:2021/12/10(金) 19:50:15.81 ID:+XS9e9yz0.net
- ハウス Javaカレー
- 36 :ニューノーマルの名無しさん:2021/12/10(金) 19:50:21.35 ID:bnuJteYL0.net
- >>15
stopcovid19.metro.tokyo.lg.jp
- 37 :ニューノーマルの名無しさん:2021/12/10(金) 19:50:32.50 ID:9u4Gh7J10.net
- >>32
サーバサイドのJavaアプリはまず入ってると思っていい。
- 38 :ニューノーマルの名無しさん:2021/12/10(金) 19:50:58.18 ID:7A4MdNQQ0.net
- >>32
Javaのプログラムがログファイルを生成するためのライブラリだから
業務用のシステムではほとんど使ってるんじゃね?
- 39 :ニューノーマルの名無しさん:2021/12/10(金) 19:51:06.00 ID:z2HejKx10.net
- そもそも5chは大丈夫なん?
- 40 :ニューノーマルの名無しさん:2021/12/10(金) 19:51:35.97 ID:XHSPlzCK0.net
- (・∀・;)きついな
- 41 :ニューノーマルの名無しさん:2021/12/10(金) 19:52:25.39 ID:4W1ogC3A0.net
- バグがない言語なんてないよ
- 42 :ニューノーマルの名無しさん:2021/12/10(金) 19:52:54.68 ID:MwfLcoOL0.net
- ログ出力にコマンド埋め込んで実行できるってこと?
まあ、ログ出力コードがバグってなきや大丈夫だろ
- 43 :ニューノーマルの名無しさん:2021/12/10(金) 19:53:29.89 ID:XHSPlzCK0.net
- >>23
(・∀・;)アーアーキコエナイキコエナイ
- 44 :ニューノーマルの名無しさん:2021/12/10(金) 19:53:54.67 ID:AXUy6gY90.net
- >>32
ちゃんとした人が開発するJava製システムの9割以上は使ってるくらいの
まず最初に組み込むレベル
この手の使わないとトラブル対応やデバッグなんかの効率が100倍遅くなるレベル
- 45 :ニューノーマルの名無しさん:2021/12/10(金) 19:54:46.85 ID:l5YyS2WB0.net
- windows pc でパンピーが使う java アプレットはセーフ?
- 46 :ニューノーマルの名無しさん:2021/12/10(金) 19:54:57.20 ID:02VVpUS80.net
- >>36
どこでJavaアプレットつこてるの?
- 47 :ニューノーマルの名無しさん:2021/12/10(金) 19:55:03.88 ID:8lS8jKuS0.net
- >>42
サニタイズやってくれてんだろー
って甘えてなけりゃな
- 48 :ニューノーマルの名無しさん:2021/12/10(金) 19:55:23.69 ID:jLrUYUSu0.net
- 5chにlog4jが使われてたら特定の書き込みをしてログに記録された後好きなコード実行し放題か。10年以上よくこの脆弱性見つからなかったな。
- 49 :ニューノーマルの名無しさん:2021/12/10(金) 19:55:32.27 ID:LK0MPF0p0.net
- エンタープライズはJava!って言い続けるおじさんお疲れ様です
- 50 :ニューノーマルの名無しさん:2021/12/10(金) 19:55:35.35 ID:pxDhHm1y0.net
- >1
> なぜこんな(外部からプログラムを取得する)機能が実装されていたのか
お前らプログラマがコピペ上等でロクに精査してねえからだろ
そもそもライブラリって他人がつくったものだろうに
- 51 :ニューノーマルの名無しさん:2021/12/10(金) 19:56:22.20 ID:7A4MdNQQ0.net
- >>48
Java使ってたっけ?
- 52 :ニューノーマルの名無しさん:2021/12/10(金) 19:56:57.45 ID:AXUy6gY90.net
- >>42
大規模で並列性が上がるほど飛んできた生データはキッチリ記録したくなる
それにかかるストレージ費用のコストは気にするな! って
- 53 :ニューノーマルの名無しさん:2021/12/10(金) 19:57:16.98 ID:7A4MdNQQ0.net
- 起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サー
- 54 :ニューノーマルの名無しさん:2021/12/10(金) 19:57:17.85 ID:MwfLcoOL0.net
- >>51
androidアプリはjavaじゃね?
- 55 :ニューノーマルの名無しさん:2021/12/10(金) 19:57:28.37 ID:8lS8jKuS0.net
- >>50
全部スクラッチなんかコストかかり過ぎるわ
- 56 :ニューノーマルの名無しさん:2021/12/10(金) 19:58:08.79 ID:AXUy6gY90.net
- >>51
逆アセンブルでソースコードに変換できちゃう系は排除されたけど
昔は色々あった
- 57 :ニューノーマルの名無しさん:2021/12/10(金) 19:58:34.56 ID:7A4MdNQQ0.net
- >>53
途中で送信してしもた
暫定回避策は見つかったようだな
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1373242.html
- 58 :ニューノーマルの名無しさん:2021/12/10(金) 19:58:42.23 ID:VzaQ/eNL0.net
- >>55
ログぐらいは大してかからんだろ
- 59 :ニューノーマルの名無しさん:2021/12/10(金) 19:59:07.44 ID:ufbUZ9/H0.net
- log4j2なら大丈夫?
- 60 :ニューノーマルの名無しさん:2021/12/10(金) 20:00:24.74 ID:gk5WykzZ0.net
- BDのメニューもJava使ってたような
- 61 :ニューノーマルの名無しさん:2021/12/10(金) 20:00:58.97 ID:7A4MdNQQ0.net
- >>54
クライアントアプリでは関係ないだろ
- 62 :ニューノーマルの名無しさん:2021/12/10(金) 20:01:19.43 ID:XHSPlzCK0.net
- >>57
(・∀・;)やめられない止められない
- 63 :ニューノーマルの名無しさん:2021/12/10(金) 20:03:59.89 ID:LVNak4DP0.net
- 1に貼ってある元記事の手順見るとめちゃくちゃ簡単だな
- 64 :ニューノーマルの名無しさん:2021/12/10(金) 20:06:58.99 ID:/MxhFImo0.net
- Javaもう入れてないわ
- 65 :ニューノーマルの名無しさん:2021/12/10(金) 20:08:15.97 ID:9u4Gh7J10.net
- >>63
${jdgi:ldap:// ・・・てログに出るように仕掛けるだけでいいように見えるね。
- 66 :ニューノーマルの名無しさん:2021/12/10(金) 20:08:17.81 ID:OG8+5JVr0.net
- >>1
またオラクルやらかしてんのか
- 67 :ニューノーマルの名無しさん:2021/12/10(金) 20:09:19.73 ID:OG8+5JVr0.net
- オープンオフィスもjavaだよな
- 68 :ニューノーマルの名無しさん:2021/12/10(金) 20:11:07.35 ID:7A4MdNQQ0.net
- ワクチンの冷凍庫のコードを抜いたのは>>25だったのか!
- 69 :ニューノーマルの名無しさん:2021/12/10(金) 20:14:06.89 ID:SnB5rDrh0.net
- まじかよ
- 70 :ニューノーマルの名無しさん:2021/12/10(金) 20:17:43.55 ID:749exbgq0.net
- >>26
JavaとVBからの影響はほぼない。
仮想マシン上で動かすことぐらい。
Delphi使いがC#を書けばわかるが違和感が全然ない。
- 71 :ニューノーマルの名無しさん:2021/12/10(金) 20:19:13.33 ID:24IRiW6h0.net
- 困るのは企業だけ?
個人レベルで困ったり対策した方がいいことある?
- 72 :ニューノーマルの名無しさん:2021/12/10(金) 20:26:51.82 ID:02VVpUS80.net
- >>71
中身がJavaVMとlog4jで動くアプリを使ってないか
アプリの情報表示や公式サイトでチェック
- 73 :ニューノーマルの名無しさん:2021/12/10(金) 20:37:04.72 ID:LeJYSdSv0.net
- java笑、ruby笑
原始人かよwww
ワロタw
- 74 :ニューノーマルの名無しさん:2021/12/10(金) 20:37:49.80 ID:rN04paMq0.net
- ふぅ
log4netで助かったぜ・・・
- 75 :ニューノーマルの名無しさん:2021/12/10(金) 20:40:05.62 ID:qh/FRjVm0.net
- log4jでログ出力してたらアウト?
- 76 :ニューノーマルの名無しさん:2021/12/10(金) 20:41:07.02 ID:62YszSH+0.net
- 年明けまで内緒にしとけばいいのに
- 77 :ニューノーマルの名無しさん:2021/12/10(金) 20:42:15.09 ID:l5YyS2WB0.net
- 俺がネット始めた頃はjavascriptでサイト閲覧者のクリップボードを
取得出来るのがデフォだったぞ、今考えるとMicrosoft頭おかしいだろ
- 78 :ニューノーマルの名無しさん:2021/12/10(金) 20:47:33.18 ID:24IRiW6h0.net
- >>72
ありがとう
ちょっとよく分からないから賢い人がどうにかしてくれるの待つわ
- 79 :ニューノーマルの名無しさん:2021/12/10(金) 20:48:59.11 ID:2OWWKKQS0.net
- >>75
アウトじゃない?サーバー側から外部に出れないようにしていれば、多少はまし?
- 80 :ニューノーマルの名無しさん:2021/12/10(金) 20:51:35.78 ID:2OWWKKQS0.net
- >>76
githubを見ていると脆弱性自体は10日以上前に公開されていたっぽい。攻撃用ツールが公開されたんで拙くなってきたんかね。
- 81 :ニューノーマルの名無しさん:2021/12/10(金) 20:51:46.52 ID:9u4Gh7J10.net
- >>79
LDAPサーバにある悪意のあるクラスを取得して実行しちゃうようだから、インターネットにアウトバウンドできなければ、とりあえずセーフなのかな。
- 82 :ニューノーマルの名無しさん:2021/12/10(金) 20:53:56.34 ID:qh/FRjVm0.net
- >>79
そうか・・う〜。。。
対象バージョンの範囲広いしこれ本当にやばい
https://www.lunasec.io/docs/blog/log4j-zero-day/
Affected Apache log4j Versions?
2.0 <= Apache log4j <= 2.14.1
- 83 :ニューノーマルの名無しさん:2021/12/10(金) 20:54:05.88 ID:HhWTvVAz0.net
- >>1
正直クライアントが何か言うまで無視か
これでまた儲ける
- 84 :ニューノーマルの名無しさん:2021/12/10(金) 20:59:41.91 ID:0GRh/F+e0.net
- VM言語で、しかも今のサーバーアプリって仮想コンテナ、OS on OS
みたいな仕組みらしいやん、それくぐり抜けるん?
アクロバティックやねえ
- 85 :ニューノーマルの名無しさん:2021/12/10(金) 21:01:33.25 ID:iS4n5uBm0.net
- 開発班に支那畜がいたんじゃねえか?
- 86 :ニューノーマルの名無しさん:2021/12/10(金) 21:01:55.01 ID:GuAxisyt0.net
- Javaはウィルス
- 87 :ニューノーマルの名無しさん:2021/12/10(金) 21:06:07.74 ID:BxsWubO90.net
- ホロ鯖もアウトか
- 88 :ニューノーマルの名無しさん:2021/12/10(金) 21:08:30.65 ID:uvcv5iKI0.net
- どうせ麻雀とテトリス以外の用途ねえからchromeでも動くようにしろよ
- 89 :ニューノーマルの名無しさん:2021/12/10(金) 21:11:17.94 ID:dJtOf/oX0.net
- まじかよ、やめてくれよ週明け影響調査させられたらたまったもんじゃない
- 90 :ニューノーマルの名無しさん:2021/12/10(金) 21:17:04.29 ID:YcRKBKS10.net
- 開き直ってLog4jはBug4uへ
- 91 :ニューノーマルの名無しさん:2021/12/10(金) 21:19:37.50 ID:kH4QK4uq0.net
- log4jってApacheのログ出力とかにも組み込まれてるよな
割といろんなところで使われてた気がする
- 92 :ニューノーマルの名無しさん:2021/12/10(金) 21:20:56.27 ID:dshRebB10.net
- >>84
SQLインジェクションみたいな感じやろ
- 93 :ニューノーマルの名無しさん:2021/12/10(金) 21:23:45.00 ID:02VVpUS80.net
- >>78
どういたしまして
有名所のアプリなら公式サイトのお知らせチェックして、アップデートとかすればいいと思う
マイナーなアプリは必須でなければ
安全確認取れるまで
しばらく利用見合わせるのおすすめ
ちなみにアプリだけでなくてネトゲとか
加入してるネットサービスも同じね
- 94 :ニューノーマルの名無しさん:2021/12/10(金) 21:29:30.38 ID:ba+iYdBg0.net
- 今までのjava案件で100%使ってるわ、知ったこっちゃねーけど
- 95 :ニューノーマルの名無しさん:2021/12/10(金) 21:32:41.26 ID:uaCy1Ync0.net
- >>1
バックドアだろ
- 96 :ニューノーマルの名無しさん:2021/12/10(金) 21:34:50.86 ID:GVTxl5fi0.net
- Log4j使ってるシステム大量にあるだろな
頑張って
- 97 :ニューノーマルの名無しさん:2021/12/10(金) 21:39:19.12 ID:GVTxl5fi0.net
- 泥アプリも使ってるの結構あるかもな
- 98 :ニューノーマルの名無しさん:2021/12/10(金) 21:43:31.61 ID:w22TVaB30.net
- これブラウザでJAVA機能オフにするとかそういうレベルの話じゃないんよね?
何をどーしといたらいいです?
- 99 :ニューノーマルの名無しさん:2021/12/10(金) 21:45:47.76 ID:O2UdbH700.net
- log4jなんて使われてないシステムの方が少なくね?
- 100 :ニューノーマルの名無しさん:2021/12/10(金) 21:45:48.67 ID:btyIUjd70.net
- ふしあなさん
- 101 :ニューノーマルの名無しさん:2021/12/10(金) 21:46:43.03 ID:dshRebB10.net
- >>99
xmlで設定ができるから便利なんよ
- 102 :ニューノーマルの名無しさん:2021/12/10(金) 21:46:52.41 ID:GVTxl5fi0.net
- >>91
自前のソフトはまだいいけど使ってるサードパーティやライブラリは全部調べないとな
ちゃんとしたところだと早々に通達が行くはず
- 103 :ニューノーマルの名無しさん:2021/12/10(金) 21:47:31.55 ID:8lS8jKuS0.net
- >>98
パッチ
- 104 :ニューノーマルの名無しさん:2021/12/10(金) 21:53:02.96 ID:LFMMZWUc0.net
- 俺が関わったJAVA案件では尽く使われてるな
- 105 :ニューノーマルの名無しさん:2021/12/10(金) 21:54:25.74 ID:fN9Au/Xf0.net
- 一通り探してlog4j使ってないと結論づけたけど
本当に大丈夫なのかわかんないな
依存ライブラリが使ってるかはdependency tree見ればいいのか?
- 106 :ニューノーマルの名無しさん:2021/12/10(金) 21:56:03.62 ID:0GRh/F+e0.net
- >>92
あれはHTTPのリクエストを契機にSQL実行みたいなやつやわな
これはログの書き込みが契機なわけやから外部というより内部犯行向き?
重要情報がどこかに筒抜けみたいな?
- 107 :ニューノーマルの名無しさん:2021/12/10(金) 21:57:24.05 ID:dshRebB10.net
- ゾッとするからワク信をバカにするスレへ移動
- 108 :ニューノーマルの名無しさん:2021/12/10(金) 21:58:23.56 ID:2OWWKKQS0.net
- >>106
外から操作できるんでね?どっかにツールが公開されてるはず。
- 109 :ニューノーマルの名無しさん:2021/12/10(金) 21:59:37.44 ID:MoPbejuE0.net
- マイクラの方は半日で対応版出したので、もう大丈夫
- 110 :ニューノーマルの名無しさん:2021/12/10(金) 22:01:02.31 ID:K8LjUxH50.net
- Java.util.loggerはok?
- 111 :ニューノーマルの名無しさん:2021/12/10(金) 22:01:12.59 ID:w22TVaB30.net
- >>103
取り敢えず注視してみます
ありがとう
- 112 :ニューノーマルの名無しさん:2021/12/10(金) 22:03:14.84 ID:Wi/1ALeK0.net
- ウチはslf4j(Logback)だったわ
- 113 :ニューノーマルの名無しさん:2021/12/10(金) 22:04:58.06 ID:fN9Au/Xf0.net
- SLF4JとLogbackは2021年現在では積極採用しない方が良い
https://blog.kengo-toda.jp/entry/2021/05/31/200807
こんな記事見つけて、ふ〜んと思ったわ
結果論だけど
- 114 :ニューノーマルの名無しさん:2021/12/10(金) 22:06:41.94 ID:pifgwHz70.net
- これまた随分メジャー所で・・・
- 115 :ニューノーマルの名無しさん:2021/12/10(金) 22:09:31.94 ID:901K2pVY0.net
- Javaってまーーーだロガーの競争やってんのかい
いい加減言語機能に入れて統一するべき
- 116 :ニューノーマルの名無しさん:2021/12/10(金) 22:26:47.93 ID:e178f9d80.net
- steamは何とかしろや
あとはどうでもいいが
- 117 :ニューノーマルの名無しさん:2021/12/10(金) 22:29:49.01 ID:gwMGnIMm0.net
- 1に乗ってる例は、Webサーバが普通のWebアクセスのログを1行出力したらアウト、っていう手順だからね
何らかの文字列を記録する処理があって、その文字列にユーザー側から送り付けられる文字列が含まれてたら、それだけで終わる仕組み
- 118 :ニューノーマルの名無しさん:2021/12/10(金) 22:41:50.91 ID:k93R7YXk0.net
- 今日はたまたまlog4jsの調査をしていた。
こっちは流石に関係ねえだろうなw
- 119 :ニューノーマルの名無しさん:2021/12/10(金) 22:49:26.12 ID:/OjzUyew0.net
- なんかヤバげな感じだな
- 120 :ニューノーマルの名無しさん:2021/12/10(金) 23:00:28.85 ID:fN9Au/Xf0.net
- logbackにまで飛び火すると俺がヤバいから震えてる
- 121 :ニューノーマルの名無しさん:2021/12/10(金) 23:05:09.17 ID:WCKsIEuL0.net
- ゲ、使いまくってるわ
しーらね
- 122 :ニューノーマルの名無しさん:2021/12/10(金) 23:06:45.45 ID:Kfjz/GtZ0.net
- 企業のサイトがウイルスだらけになったりすんの?
- 123 :ニューノーマルの名無しさん:2021/12/10(金) 23:19:08.18 ID:u9AqzWrh0.net
- もう終わりだよこの言語
- 124 :ニューノーマルの名無しさん:2021/12/10(金) 23:35:02.14 ID:gs/VEvuj0.net
- >>115
slf4jにほぼ統一された
出力ロガー任意に選べるし
- 125 :ニューノーマルの名無しさん:2021/12/10(金) 23:35:42.44 ID:gs/VEvuj0.net
- >>120
安心しろ大丈夫、検証済み
- 126 :ニューノーマルの名無しさん:2021/12/10(金) 23:43:34.91 ID:Zuzm37vS0.net
- うわぁぁぁぁぁぁぁやばい奴
- 127 :ニューノーマルの名無しさん:2021/12/10(金) 23:44:21.07 ID:Zuzm37vS0.net
- つか楽天ってJava使いまくりじゃね?
- 128 :ニューノーマルの名無しさん:2021/12/10(金) 23:45:04.30 ID:n+OX7nGB0.net
- これがあるからJava入れたくねえのよね
- 129 :ニューノーマルの名無しさん:2021/12/10(金) 23:57:34.12 ID:2uKRzZaX0.net
- >>75
アウトだな
実害あるかどうか関係なしに使ってるだけでアウト
テスト工程の脆弱性チェックなんてそんなもん
- 130 :ニューノーマルの名無しさん:2021/12/10(金) 23:58:16.67 ID:O5wtkn3h0.net
- 日系メーカーの「独自のフレームワーク」に多用されてそうな予感
でもって政府系のお友達発注がグダグダでまたもや…
- 131 :ニューノーマルの名無しさん:2021/12/10(金) 23:59:25.64 ID:2uKRzZaX0.net
- 開発なんてとっくにやめて偉そうに講釈垂れてるだけの立場になったので気楽だわw
お前ら開発者には同情してる
- 132 :ニューノーマルの名無しさん:2021/12/11(土) 00:02:37.16 ID:9HbtY0cD0.net
- 大晦日・正月返上で再デプロイ祭りかな?
- 133 :ニューノーマルの名無しさん:2021/12/11(土) 00:06:39.28 ID:AYusnyNh0.net
- すげえな。バグじゃなく機能なのか
特定のキーワードを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードする機能が実装されてる
ゲームとかだとチャットとか入力できるものでログに記録させるだけでダウンロードさせてコード実行させれるとか
- 134 :ニューノーマルの名無しさん:2021/12/11(土) 00:08:19.91 ID:Hoie+6+s0.net
- バックドアじゃん
- 135 :ニューノーマルの名無しさん:2021/12/11(土) 00:09:34.76 ID:Cbblmw150.net
- 4jっていうくらいだから日本鯖狙い撃ちか
- 136 :ニューノーマルの名無しさん:2021/12/11(土) 00:30:42.02 ID:ECmvqtwA0.net
- 何でロガーにこんなやっかいな機能があるんだよ。週明けは間違いなく会社が祭になってるわ。勘弁して。
- 137 :ニューノーマルの名無しさん:2021/12/11(土) 00:35:41.39 ID:wF8D/3xM0.net
- じゃあ寝るから朝までには治しといてくれな。
- 138 :ニューノーマルの名無しさん:2021/12/11(土) 00:37:30.67 ID:mI44H4lb0.net
- 今はkotlinで書く方が多かったりするのかね?
- 139 :ニューノーマルの名無しさん:2021/12/11(土) 00:38:52.77 ID:buyjttcK0.net
- 動作確認には便利そうな機能だなwwww
- 140 :ニューノーマルの名無しさん:2021/12/11(土) 00:40:27.37 ID:YJ0JWtTv0.net
- 文字吐くだけの野郎が実はそんな強えのか
- 141 :ニューノーマルの名無しさん:2021/12/11(土) 00:42:34.49 ID:ufAmTFoQ0.net
- バグじゃなくてわざとなのがタチ悪いな
Log4jの信頼性ダダ下がり
- 142 :ニューノーマルの名無しさん:2021/12/11(土) 01:04:33.71 ID:joObT1kd0.net
- こういうのって十分時間を空けてから公開されるもんじゃないの?
- 143 :ニューノーマルの名無しさん:2021/12/11(土) 01:49:32.75 ID:q+17H9gi0.net
- サイバー兵器として仕込まれた脆弱性というだけのこと
カードは1枚ずつ切って行く
- 144 :ニューノーマルの名無しさん:2021/12/11(土) 02:11:01.29 ID:1hWnMRJ00.net
- >>141
これな
なんでわざわざこんなの仕込んでるんだか
- 145 :ニューノーマルの名無しさん:2021/12/11(土) 02:31:41.02 ID:5lRkpP7F0.net
- >>142
どういう経緯で発覚したんだこれ
タイミング的にも今まで被害が報告されてなかったのもなんか怪しいよな
- 146 :ニューノーマルの名無しさん:2021/12/11(土) 03:44:38.50 ID:itmQF3LX0.net
- もう終わりだ猫の国
- 147 :ニューノーマルの名無しさん:2021/12/11(土) 03:47:58.91 ID:2vrRiEav0.net
- 自称天才プログラマーのお前らに聞くけど、修正版が出るまで何日くらい掛かりそう?
- 148 :ニューノーマルの名無しさん:2021/12/11(土) 04:04:37.22 ID:gzJb9O2b0.net
- >>147
SIでも無くて申し訳ないけど、BigTechならすぐに対応してくれる(じゃないとマジでヤバすぎるので)。
でかいシステムは1ヶ月かかったりするかもね…
根幹だし…。
問題はあまりに広範囲かつどこでも使われてるから、実は使われてましたー!なんてのが平気で起こること。やばいのよ。
- 149 :ニューノーマルの名無しさん:2021/12/11(土) 04:06:58.66 ID:xg4gQcuX0.net
- 悪用?される前に発覚して良かったな
- 150 :ニューノーマルの名無しさん:2021/12/11(土) 04:10:34.68 ID:gzJb9O2b0.net
- >>142
本来はそう。0-dayにならないように慎重なはず。
発見の発端になったPullRequestはこれ
Restrict LDAP access via JNDI by rgoers · Pull Request #608 · apache/logging-log4j2 · GitHub
ttps://github.com/apache/logging-log4j2/pull/608
- 151 :ニューノーマルの名無しさん:2021/12/11(土) 04:17:06.62 ID:gzJb9O2b0.net
- >>149
悪用済みやで
(中国とかだとビットコイン送信とかさせてるという噂)
なので、みんな必死に対応しとる
あと >>150でPRでバレたと言ったけど、そもそもあまりにバカみたいに簡単に任意コード実行可能な話では!?となったのでバレちゃった感じかもしれん(詳しい背景事情はわからん)
- 152 :ニューノーマルの名無しさん:2021/12/11(土) 04:24:16.71 ID:7tggEtuf0.net
- アメリカさんへ
こういうのも バックドア と言うんですよね
- 153 :ニューノーマルの名無しさん:2021/12/11(土) 04:25:01.18 ID:7tggEtuf0.net
- あぁ 全世界のSEX産業って コワイね
- 154 :ニューノーマルの名無しさん:2021/12/11(土) 04:28:49.08 ID:7tggEtuf0.net
- 三国人の反米のカルト国際犯罪テロリストの連中は
これで マジだったか と 理解できたのだろうよ
wwwwww
- 155 :ニューノーマルの名無しさん:2021/12/11(土) 04:33:13.82 ID:hE7acYYO0.net
- ログ出力とか汎用的すぎてやばいな
日本の基幹サーバも全滅か
- 156 :ニューノーマルの名無しさん:2021/12/11(土) 04:45:04.18 ID:jANN6gRF0.net
- 発生機構見たが、似たような穴をもってるやつが他にも居そう
- 157 :ニューノーマルの名無しさん:2021/12/11(土) 04:52:14.95 ID:9yaJavHY0.net
- 忙しくなりそうだw
- 158 :ニューノーマルの名無しさん:2021/12/11(土) 04:56:41.84 ID:AGxdik810.net
- 上手いこと権限奪取できたら夢のrm -rf も可能?
- 159 :ニューノーマルの名無しさん:2021/12/11(土) 05:05:24.44 ID:FABHEOij0.net
- 中国人やロシア人がマージ権限持ってるやつは全部危ないってことじゃんw
- 160 :ニューノーマルの名無しさん:2021/12/11(土) 05:28:56.70 ID:Vi7zEmdw0.net
- iCloudがJava使ってるのに驚き
- 161 :ニューノーマルの名無しさん:2021/12/11(土) 05:33:13.55 ID:sZk33niw0.net
- えー、みんな今時logbackじゃ無いの?
- 162 :ニューノーマルの名無しさん:2021/12/11(土) 06:39:46.27 ID:0M6hYOaw0.net
- >>161
今時じゃないプロジェクトが生き残ってるんだよ
- 163 :ニューノーマルの名無しさん:2021/12/11(土) 07:02:39.68 ID:+D0AyeWV0.net
- いやいや、ソース公開なら外部コード実行部を洗い出すだろーがよ!で、そこ潰して再構築。
提供するサービスに不要ならそうするのが普通じゃねーのかよ(笑)
念の為にそこに来た場合の引数テキストに吐き出しておくのがせいぜいだな
コールスタックも必要なら書き出す
つーかマジで世界中のIT技術者の質が落ちてねえか?ソース引っ張ってきて実装するだけとかPG以下だぞ?(笑)
- 164 :ニューノーマルの名無しさん:2021/12/11(土) 07:04:33.68 ID:zs5Uwvzz0.net
- まだ、被害報告されてないよね?
コイン発掘とかに使われているとCPU負荷が上がるだけで気づかれにくい?
- 165 :ニューノーマルの名無しさん:2021/12/11(土) 07:14:38.30 ID:zs5Uwvzz0.net
- >>163
スターの数とか見てみんな使ってるから大丈夫って判断してるからなー
そもそもバグを踏まない限り他所のライブラリのコードなんて読まないし
リフレクション系のクラスなんて使っているところはザラにあるよね
- 166 :ニューノーマルの名無しさん:2021/12/11(土) 07:19:38.75 ID:Kyf6bhOD0.net
- >>64
>>67
サーバーサイドの話だ
- 167 :ニューノーマルの名無しさん:2021/12/11(土) 07:20:50.40 ID:Kyf6bhOD0.net
- >>161
納品して動いているから厄介なんだろ
納品したことないんだろ
- 168 :ニューノーマルの名無しさん:2021/12/11(土) 08:03:09.71 ID:cv4IS/An0.net
- うへ、来週で良いやな
- 169 :ニューノーマルの名無しさん:2021/12/11(土) 08:13:56.53 ID:8vgsq6TU0.net
- >>59
だめ
- 170 :ニューノーマルの名無しさん:2021/12/11(土) 09:09:51.09 ID:hE7acYYO0.net
- 認知のコードってJUMP命令一行でシステムダウンさせられるのか
- 171 :ニューノーマルの名無しさん:2021/12/11(土) 09:18:27.15 ID:4IC7yaMN0.net
- >>168
金融や大手じゃなけりゃ数ある中から狙われる可能性は少ないからな
- 172 :ニューノーマルの名無しさん:2021/12/11(土) 09:58:15.16 ID:qIORoh8f0.net
- これSIer全滅レベルのヤバいやつじゃね?
業務系のJavaシステム全部該当するだろ。
- 173 :ニューノーマルの名無しさん:2021/12/11(土) 10:24:04.93 ID:SHE7BVPl0.net
- デスマーチ全国大会のお知らせ
- 174 :ニューノーマルの名無しさん:2021/12/11(土) 12:24:59.51 ID:jANN6gRF0.net
- しかし、log中に置換パターン入れられると便利だとはいえ ldap サーバから
class ファイルまで取り込んで実行できるとは
- 175 :ニューノーマルの名無しさん:2021/12/11(土) 13:10:33.91 ID:SQKQ8pQt0.net
- >>163
世の中、お前が思ってるほど暇じゃねーんだわ。
他人の書いたコードなんか眺めて楽しいかよ。
動かしてから確認しろっつうの。
セキュリティが心配なら脆弱性診断受けろっつうの。
- 176 :ニューノーマルの名無しさん:2021/12/11(土) 13:15:51.18 ID:zI0iJq+B0.net
- ヤバいと言っても変な実行命令が書かれてるソフトをインストしない限り問題ない
ゲーム系はMODで変なのを入れない限り問題ない
ヤバいってのはWindowsアップデートの再起不能バグみたいのを言うんだわ
- 177 :ニューノーマルの名無しさん:2021/12/11(土) 13:35:00.15 ID:VXxn+cPP0.net
- 核ミサイルが世界中で発射されまくる位じゃないと納得せんぞ
この手の話はいつも期待はずれだ
- 178 :ニューノーマルの名無しさん:2021/12/11(土) 15:06:24.93 ID:xxsu57Ti0.net
- カズクラが荒らし荒らし騒いでたのはこれか?
- 179 :ニューノーマルの名無しさん:2021/12/11(土) 15:40:12.14 ID:Oy4Qwzkp0.net
- だからJavaなんてそもそもマナー違反なんだから
これに懲りたらさっさと捨てろっつーの
- 180 :ニューノーマルの名無しさん:2021/12/11(土) 15:45:04.70 ID:h7is28LN0.net
- ま〜た来週、前の会社から教えてくださいの電話がかかってくるのか。
俺の後任で採ったSEがパソコンもロクに使えないレベルの超絶無能らしい。彼に職場PCのJDKを入れ替えるなんて無理だろう。
今度から電話応対1分10000円取るからな。
- 181 :ニューノーマルの名無しさん:2021/12/11(土) 15:47:00.70 ID:EtE4QiAy0.net
- log4jかよヤベエな
使ってないシステムないんじゃないか
- 182 :ニューノーマルの名無しさん:2021/12/11(土) 15:48:45.17 ID:EtE4QiAy0.net
- >>147
もう出とるっつの
- 183 :ニューノーマルの名無しさん:2021/12/11(土) 15:49:24.23 ID:h7is28LN0.net
- >>2
構造体が使えちゃったり、
staticメソッドの継承ができなかったり、
double型の除算がデフォルトで銀行丸めだったり、
Java使いが触ると「えっ?」ってのはある。
- 184 :ニューノーマルの名無しさん:2021/12/11(土) 16:09:56.28 ID:KwnxtSxY0.net
- 仕様らしいけど、じゃあどういう目的でこんな機能を実装してたんだろう。本来意図してたユースケースが知りたいよ。
- 185 :ニューノーマルの名無しさん:2021/12/11(土) 16:52:50.19 ID:FZd6tGX70.net
- >>135
JapanのjじゃなくてJavaのjだから全世界共通
- 186 :ニューノーマルの名無しさん:2021/12/11(土) 17:17:26.49 ID:PgYK0upW0.net
- >>161
正直ログになに使ってるとかどうでもいいこと気にしない
- 187 :ニューノーマルの名無しさん:2021/12/11(土) 17:27:39.20 ID:DrEB7eEI0.net
- クライアント側で出来る対策はなく
サーバー対応まちってこと?
- 188 :ニューノーマルの名無しさん:2021/12/11(土) 17:29:08.96 ID:tCYu/hc30.net
- マジかこれ
- 189 :ニューノーマルの名無しさん:2021/12/11(土) 17:37:41.76 ID:RzK5OJSQ0.net
- Borlandと言えば、Turbo C++愛用してた
- 190 :ニューノーマルの名無しさん:2021/12/11(土) 17:44:11.28 ID:QH4WMF8b0.net
- Log4か
有名ライブラリだから影響でかいな
- 191 :ニューノーマルの名無しさん:2021/12/11(土) 18:03:06.26 ID:0cUUKij60.net
- log4jサーバにメッセージごりごり複数のプロセスで送ったら
割と簡単にハングアップして解析するのいやになって内製しよう
と提案していま安泰です
あ、log4cxxはつこうてます
- 192 :ニューノーマルの名無しさん:2021/12/11(土) 18:44:12.14 ID:joObT1kd0.net
- >>150
オープンソースだから修正内容を誰でも見られて悪用しようと思えばできちゃうってことかな
むつかしいね
- 193 :ニューノーマルの名無しさん:2021/12/11(土) 18:47:48.41 ID:x+6yYkdd0.net
- Javaは使われすぎててやばいな
- 194 :ニューノーマルの名無しさん:2021/12/11(土) 18:57:59.47 ID:PwNLwC2y0.net
- 誰だ、うちはバージョン1系だから安全ですなんてドヤ顔で言ってるのは
- 195 :ニューノーマルの名無しさん:2021/12/11(土) 19:02:00.02 ID:VLWU9Ksr0.net
- 古いlog4j使ってたらきついな
枯れたライブラリだから更新もしてない
- 196 :ニューノーマルの名無しさん:2021/12/11(土) 19:47:08.31 ID:fC82kQ3t0.net
- log4jってlog for javaの略なんだぜ
- 197 :ニューノーマルの名無しさん:2021/12/11(土) 20:05:55.27 ID:AxuPmYwX0.net
- 北朝鮮のサイバー攻撃って日本より発達してるんやで
知らん日本人はびっくりこくやで
- 198 :ニューノーマルの名無しさん:2021/12/11(土) 20:29:16.42 ID:I+37HYYZ0.net
- >>2
C#はメソッド名を大文字で始めるのが受け入れられなかった
- 199 :ニューノーマルの名無しさん:2021/12/11(土) 20:32:44.01 ID:lVfXN9bG0.net
- コロナウイルスに例えると?
- 200 :ニューノーマルの名無しさん:2021/12/11(土) 20:38:28.70 ID:aowJyqRZ0.net
- Python一択
- 201 :ニューノーマルの名無しさん:2021/12/11(土) 20:56:03.64 ID:hE7acYYO0.net
- 時には車輪の再発明した方がコストがかからん事もあるんだな
- 202 :ニューノーマルの名無しさん:2021/12/11(土) 21:01:28.39 ID:kuiO2sKN0.net
- バージョンアップできなきゃアウトじゃないか
- 203 :ニューノーマルの名無しさん:2021/12/11(土) 21:16:55.77 ID:HoYN+ZLX0.net
- >>191
logback使えよ
ロガー内製とか正気か
- 204 :ニューノーマルの名無しさん:2021/12/11(土) 21:20:56.98 ID:OPB/krpi0.net
- これのせいで呼び出しくらったわ
- 205 :ニューノーマルの名無しさん:2021/12/11(土) 21:23:52.34 ID:SFGx7zKM0.net
- >>176
これはサーバーサイドのバグ。
クレカ情報預けてるWebサイトがLog4j使ってたら、パスワードとかワンタイムパスワードとか全部すっ飛ばして直接クレカ情報抜かれる、ってこと。
- 206 :ニューノーマルの名無しさん:2021/12/11(土) 21:28:40.01 ID:SFGx7zKM0.net
- 攻撃者が設置したサーバにLog4jがアクセスすることで攻撃コードが読み込まれる、だから、外向き通信を無制限に許可するのを止めたらだいたい止められる。
- 207 :ニューノーマルの名無しさん:2021/12/11(土) 21:47:59.28 ID:tVxgNLiH0.net
- >>203
logback 良さげやな
良いの教えてくれてサンクスコ
- 208 :ニューノーマルの名無しさん:2021/12/11(土) 22:29:09.72 ID:jAJYLSwh0.net
- 外側へのLDAPアクセスを閉じるだけじゃダメなん?
影響範囲大き過ぎて対応できねえよ
- 209 :ニューノーマルの名無しさん:2021/12/11(土) 22:50:54.70 ID:qELMhJho0.net
- >>199
文字列見た人間が全員コロナ感染
重症って書いてあったら重症になるし、死ぬって書いてあったら死ぬ
- 210 :ニューノーマルの名無しさん:2021/12/11(土) 22:52:48.24 ID:/Zt0VZlP0.net
- これは使ってるとろこ多いからやばい
- 211 :ニューノーマルの名無しさん:2021/12/11(土) 22:53:09.42 ID:SFGx7zKM0.net
- >>208
ゼロデイのうちはそれでだいたい防げるけど、例えば443で待ってるLDAPを攻撃者が立て始めたらHTTPS想定で外行き443を開けてるとこは食らうようになる。
全閉じ出来ないけどライブラリ更新も出来ない、って状況ならIPSかWAF入れて守るしかない。
- 212 :ニューノーマルの名無しさん:2021/12/11(土) 23:00:23.72 ID:4tjEOsuQ0.net
- Webフォームにコマンド入力してサーバーがログ出力してたら実行されるってこと?
- 213 :ニューノーマルの名無しさん:2021/12/11(土) 23:04:23.36 ID:qELMhJho0.net
- >>212
UserAgentがだいたいログにでるからWebフォームとか不要だぞ
UserAgent書き換えてGET一発で行ける
- 214 :ニューノーマルの名無しさん:2021/12/12(日) 00:03:06.65 ID:A3oya4QH0.net
- 最強やん
- 215 :ニューノーマルの名無しさん:2021/12/12(日) 00:08:07.82 ID:8w5+OdqG0.net
- やばいのは間違いないけれども、システムを利用している会社の担当者が、
システムを開発した会社なり、サーバーを管理している会社なりに問い合わせて
Log4jだけ入れ替える程度で、あっさり解決する可能性も一応あるよね。
ただ担当者がこのニュースを見てうちのシステムJavaじゃなかったっけとか考えずに、
業者が対応してくれるまで放置するケースもかなり多そうなので、
ダメな業者と契約していた会社は大きな被害を被ってご愁傷様かもしれない…
- 216 :ニューノーマルの名無しさん:2021/12/12(日) 00:35:26.49 ID:aCoPQ9dL0.net
- >>215
でもJavaだし
- 217 :ニューノーマルの名無しさん:2021/12/12(日) 00:38:00.56 ID:TFZiFJF90.net
- CIとか入れてなさそうよねぇ
JAVA多い現場は
- 218 :ニューノーマルの名無しさん:2021/12/12(日) 00:42:25.16 ID:edZfp/AY0.net
- jndiな被害になりそうだな
- 219 :ニューノーマルの名無しさん:2021/12/12(日) 00:44:40.57 ID:seeUjF0u0.net
- >>54
端末がサーバーみたいな動きすることはあるよ
Androidはlog4j積んでないの?
WindowsクライアントでIISが起動しちゃう脆弱性みたいなの
- 220 :ニューノーマルの名無しさん:2021/12/12(日) 00:45:06.91 ID:oBvzQDC/0.net
- >>218
審議拒否
- 221 :ニューノーマルの名無しさん:2021/12/12(日) 00:53:50.27 ID:vlY5DPqD0.net
- >>189
C++builder
- 222 :ニューノーマルの名無しさん:2021/12/12(日) 00:57:44.11 ID:5NHbXWh80.net
- 脆弱性対応やベーな。。。
マジかぁ、、、
- 223 :ニューノーマルの名無しさん:2021/12/12(日) 00:59:13.54 ID:zSVicvG70.net
- 1.x系もヤバいん?
うちの古くさいシステム改修したくないんだけど
- 224 :ニューノーマルの名無しさん:2021/12/12(日) 01:13:08.20 ID:TMDTAhfW0.net
- 実際に被害を受ける攻撃方法を教えてほしい。
特定ポートへの攻撃?
- 225 :ニューノーマルの名無しさん:2021/12/12(日) 01:43:33.58 ID:WF2IMd9s0.net
- これでも飲んで餅つけ!
https://www.youtube.com/watch?v=NP1WTu3RGpo
- 226 :ニューノーマルの名無しさん:2021/12/12(日) 01:47:24.93 ID:h5YS9Y8f0.net
- >>223
1.x系はJMS Appender以外Lookup機能がないからJMS Appender使ってなければ本件はセーフだけど、
1.x系はそもそも2年前のCVE-2019-17571でアウトだぞ
>>224
UserAgentを変更するだけで、アクセスしたサーバがrm -rf /されるブラウザが出来上がるぞ
証拠残すと自分の人生も消えるが
- 227 :ニューノーマルの名無しさん:2021/12/12(日) 02:11:26.20 ID:YioXlAov0.net
- >>2
インターフェイスの実装(ミックスイン)とか、switch式とか、
最近のC#ってJavaの後追いをしてない?
- 228 :ニューノーマルの名無しさん:2021/12/12(日) 03:47:01.13 ID:wgXgxHzK0.net
- >>226
UserAgentをログに書き出していると、ハッカーがHTTPクライアントを自作してrm -rfをログに書き出せるのは分かる。
でも、それが実行されちゃうっていうのは、どういう仕組なの?バグにしても分からないわ。
- 229 :ニューノーマルの名無しさん:2021/12/12(日) 05:56:13.87 ID:11osM6Qh0.net
- 何でこんな脆弱性というか機能あるんだろうな。怖過ぎるわ。
- 230 :ニューノーマルの名無しさん:2021/12/12(日) 06:52:08.56 ID:seeUjF0u0.net
- ゲームなんかでも端末アプリ上でlog4j動いてるのはありそうだよね
不正ユーザーのアカウント削除にも使えそうだし
- 231 :ニューノーマルの名無しさん:2021/12/12(日) 07:11:55.82 ID:M60uGOyE0.net
- >>229
生き物が生まれた時点から死に向かっているのと同じくらい当たり前のことだよ
- 232 :ニューノーマルの名無しさん:2021/12/12(日) 07:27:34.40 ID:7+E0oTEJ0.net
- どんぐらいヤバいのかわからん
これが動くってこと?
exec("rm -rf */*");
- 233 :ニューノーマルの名無しさん:2021/12/12(日) 07:39:46.19 ID:/N1hEdBm0.net
- 人類補〇計画ってこと?
- 234 :ニューノーマルの名無しさん:2021/12/12(日) 07:59:45.49 ID:0nPenU320.net
- >>28
1に書いてあるだろ読めよカスw
- 235 :ニューノーマルの名無しさん:2021/12/12(日) 08:00:45.96 ID:mNdB+Cj00.net
- >>229
ログ出力ライブラリの中に通信機能を持ってるとは思わないよな
- 236 :ニューノーマルの名無しさん:2021/12/12(日) 08:06:15.62 ID:HlddjVvR0.net
- 影響受ける製品まとめきれるのかこれ?
各ベンダーも調査中やしどうしろと?
- 237 :ニューノーマルの名無しさん:2021/12/12(日) 08:50:19.18 ID:8YSYn87Z0.net
- >>232
Java使ってるほぼ全てのプロダクトに任意のコード実行できる
rmどころの話じゃない
そこからDDoSとかもやりたい放題
- 238 :ニューノーマルの名無しさん:2021/12/12(日) 10:38:56.50 ID:TFZiFJF90.net
- https://www.lunasec.io/docs/blog/log4j-zero-day/
https://blog.cloudflare.com/how-cloudflare-security-responded-to-log4j2-vulnerability/
この辺の解説がわかりやすかった
- 239 :ニューノーマルの名無しさん:2021/12/12(日) 10:43:57.98 ID:JqIR7fJs0.net
- 特定のオンラインショップ利用したらクレカ不正利用続出とかは
これのせいかもしれんな…
- 240 :ニューノーマルの名無しさん:2021/12/12(日) 10:45:29.07 ID:TFZiFJF90.net
- >>235
であればロギングサーバは外部に接続しに行けないように
VPCなりファイアウォールで囲っておくべきだし
そうしてれば本件の攻撃を受けても何も起きない訳だが、
そこまでちゃんとやってる現場の方がレアよなぁ多分
- 241 :ニューノーマルの名無しさん:2021/12/12(日) 10:52:38.93 ID:yfXLrWfx0.net
- >>235
ディスクが死んだ時や侵入された際にログの喪失や改ざんを防ぐために
別ノードにログを記録する機能はJavaより昔からある
- 242 :ニューノーマルの名無しさん:2021/12/12(日) 10:58:35.08 ID:6ELphMBX0.net
- >>239
あれはEC-CUBEのXSS脆弱性放置がほとんど。
入力文字列全部取られるからセキュリティコード保管するしない関係ないし
店としては正常に取引できてるから気付きづらい。
- 243 :ニューノーマルの名無しさん:2021/12/12(日) 11:24:54.31 ID:rkVpASb10.net
- パスワードをそのままログに書き出すなんてことはしないだろうけど
IDなんかはやってそう
- 244 :ニューノーマルの名無しさん:2021/12/12(日) 11:27:34.98 ID:rBp0dljz0.net
- 20年以上も放置され続けて来たのかよ
プログラマーも馬鹿しかいないんだな
- 245 :ニューノーマルの名無しさん:2021/12/12(日) 12:15:25.24 ID:ZlFLja0V0.net
- どこの誰かも分からないユーザーが与えたテンプレート文字列を評価・実行できるようにしてあるのが頭おかしい設計
普通はそんなことしないでしょ
OWASPでも脆弱性になる原因として挙げられてるぞ
Unsafe use of Reflection
https://owasp.org/www-community/vulnerabilities/Unsafe_use_of_Reflection
- 246 :ニューノーマルの名無しさん:2021/12/12(日) 12:17:00.13 ID:BvIJz3wc0.net
- たかがロガーにいらん機能つけるから
- 247 :ニューノーマルの名無しさん:2021/12/12(日) 12:35:45.17 ID:Zf+V8y3e0.net
- slf4jだから実装を置き換えるだけ
影響はlog4jみたいな古いライブラリを使いっぱなしのメンテしてないシステムだけ
- 248 :ニューノーマルの名無しさん:2021/12/12(日) 13:25:47.48 ID:JqIR7fJs0.net
- >>209
いやああ
- 249 :ニューノーマルの名無しさん:2021/12/12(日) 14:11:56.95 ID:TFZiFJF90.net
- >>244
インフラとか諸々多面的にペストプラクティスを遵守してれば
問題にはならない話ではある
ただPGのせい、にして片付く話では無い
- 250 :ニューノーマルの名無しさん:2021/12/12(日) 14:33:52.50 ID:QHjlJw0k0.net
- >>249
外部サービスとインターネット経由で連携するのが自然になり、サーバーレスでIPが可変になるのが自然になった世の中だから、アウトバウンドの通信に制限をかけるのはかなり難しくなってるよ。
ただのログライブラリにLDAPサーバーとの通信機能なんて付けてるのは明らかにおかしいわ。
- 251 :ニューノーマルの名無しさん:2021/12/12(日) 14:56:08.13 ID:TFZiFJF90.net
- >>250
明示的に必要な通信以外は
デフォルトDENYであるべきで。
iaasにk8sとかコンテナオーケストレーションが
当たり前になった今だからこそやり易い事かと思うよ
- 252 :ニューノーマルの名無しさん:2021/12/12(日) 15:01:10.20 ID:TFZiFJF90.net
- 「付いてるのはおかしい」の考え方では防げない事で、
「何が付いてるかわからないからALLOW設定を厳密に制御」の考え方なら防げたわけで。
これは仕様がおかしかった話だけど、
悪意あるソフトウェアが混入される可能性は
全てのユニットについて考慮しないといけない時代なんだと思うよ。
well-architectedの考え方ってその辺すごく重要視されてる
- 253 :ニューノーマルの名無しさん:2021/12/12(日) 16:17:57.75 ID:YioXlAov0.net
- >>7
新しいもののほうが優れていることは多いが、それが必ずしも普及するわけではないんですぜ旦那。
- 254 :ニューノーマルの名無しさん:2021/12/12(日) 16:21:04.46 ID:rcX4xk0Z0.net
- こんなに訳がわからんスレ初めてだわ
何言ってんだかさっぱりわかんねえ
- 255 :ニューノーマルの名無しさん:2021/12/12(日) 16:23:25.21 ID:Zkj4IMQY0.net
- まじか
iCloudもMinecraftいいがSteamは困る
- 256 :ニューノーマルの名無しさん:2021/12/12(日) 16:27:01.19 ID:FX3LHpY00.net
- チャットインジェクションか新しいなw
- 257 :ニューノーマルの名無しさん:2021/12/12(日) 16:34:14.27 ID:l8I8iGOa0.net
- これは逆に中国ロシアもやばいのでは?
- 258 :ニューノーマルの名無しさん:2021/12/12(日) 16:39:03.78 ID:pAgi0RX50.net
- >>36
JavaとJavaScriptを混同してるバカが久しぶりに来たか?
- 259 :ニューノーマルの名無しさん:2021/12/12(日) 17:06:27.39 ID:YioXlAov0.net
- >>254
その「 何言ってんだかさっぱりわかんねえ」奴が年功序列で上がれて
企業の上層部で決裁権を振りかざしているのが中世国家ジャップランドなんだわ。
- 260 :ニューノーマルの名無しさん:2021/12/12(日) 17:17:08.74 ID:CRW5x+HH0.net
- まじかよアパッチ族最低だな
- 261 :ニューノーマルの名無しさん:2021/12/12(日) 20:26:38.64 ID:KPr52wTX0.net
- >>259
手を動かす労働を他に押し付けるのを労働だと思ってるやつが上に行く
- 262 :ニューノーマルの名無しさん:2021/12/12(日) 21:34:49.74 ID:TFZiFJF90.net
- >>261
それは経営
- 263 :ニューノーマルの名無しさん:2021/12/13(月) 00:52:21.61 ID:dGv6iFMj0.net
- Javaの無料文化面倒だよな。
悪貨が良貨を駆逐してる。
- 264 :ニューノーマルの名無しさん:2021/12/13(月) 02:28:23.98 ID:PV3uvtyf0.net
- https://www.slideshare.net/codeblue_jp/me-32214055
たぶんこっちを内蔵できたからlog4jはもういらないのかもしれない
- 265 :ニューノーマルの名無しさん:2021/12/13(月) 11:14:53.71 ID:clT/gcMU0.net
- tomcatがlog4jなのかorz
- 266 :ニューノーマルの名無しさん:2021/12/13(月) 14:50:07.01 ID:glj8vle90.net
- このニュース知らずに偶然今日休み取ったわい勝ち組
誰かが検証してあかん出来てしもたってメールが飛んでたのは見てしまったけど
- 267 :ニューノーマルの名無しさん:2021/12/13(月) 15:06:27.25 ID:Z7cpNsZ00.net
- しかし強いぜ負けないぜ
- 268 :ニューノーマルの名無しさん:2021/12/13(月) 15:56:58.81 ID:IXS742TU0.net
- >>263
Javaって有料に向かってるんじゃなかったっけ?
だから今は代替えなににするかって魚竿してるはず
- 269 :ニューノーマルの名無しさん:2021/12/13(月) 16:16:14.83 ID:Eyxu+6Qu0.net
- >>268
オラクルは無料に戻したよ
- 270 :ニューノーマルの名無しさん:2021/12/13(月) 17:04:37.60 ID:QZt07gOg0.net
- 問題のコードを書いたのはWoonsan Ko
ハングルが母国語みたいですね。
- 271 :ニューノーマルの名無しさん:2021/12/13(月) 18:42:35.65 ID:7BtYijdF0.net
- 致命的なバグにもいろいろあるけれど、今回のは最悪の場合、会社の命が断たれるタイプの「致命」なんで、コロナの話とかどうでもいいんで、テレビのニュースのトップにしてほしい。
それに、スマートスピーカーに侵入されて盗聴されたりする可能性もないとは言えないし、個人でも普通に関係のある人はいそう。
しかし、21世紀に入ってから最悪のバグかもしれないのに、世間の反応が薄い。薄すぎる。
ここ6年以内に新しいシステムを導入した会社の担当者は、急いでLog4j2を使ってないか確認しろと、何のトラブルもなくても今すぐ確認しろと、誰か教えてあげてください。
ひろゆきもどうでもいいことを論破してる暇があったら、こういう時にがんばれと…
- 272 :ニューノーマルの名無しさん:2021/12/13(月) 19:04:49.49 ID:cqcnu5Ol0.net
- 興味本位でバグを付く輩がいるから、そうならないように情報絞ってんじゃないかね、好意的に考えれば
単にどんくらいやばいのか、わからんだけだとは思うけど
- 273 :ニューノーマルの名無しさん:2021/12/13(月) 19:27:24.56 ID:QZt07gOg0.net
- 情報絞ってなんかいない。
あまりにイージー過ぎてヤバすぎる。
もしIT系エンジニアで理解できていないなら転職すべきレベル。
- 274 :ニューノーマルの名無しさん:2021/12/13(月) 19:57:54.30 ID:nYGll0gl0.net
- >>269
そうなのね、ちょっと情報集めておくか
- 275 :ニューノーマルの名無しさん:2021/12/13(月) 20:39:41.08 ID:d5N1wjHx0.net
- うちんとこはもうこの話題で持ちきりだったわ
さすがに理解してないアホはいなかったけど
Javaの案件は今はほぼ無いけど既存システム全部チェックする様に即通達出た
- 276 :ニューノーマルの名無しさん:2021/12/13(月) 21:36:49.55 ID:ySZZmJAN0.net
- とりあえずlookupは使ってないから起動オプションの変更で対応することにしたわ
まあそもそも外向けの通信は閉じてるサーバがほとんどで即日対応は少ないんだけど脆弱性の内容が理解できないジジイ対応に疲れた
- 277 :ニューノーマルの名無しさん:2021/12/13(月) 22:05:55.89 ID:4SGohcZL0.net
- >>276
乙乙でした
システムよりジジィ対応にカロリー使われるの
ホント勘弁よなぁ
- 278 :ニューノーマルの名無しさん:2021/12/13(月) 23:03:16.82 ID:BjhgWA8b0.net
- まぁでもソフトウェア仕事ってそこにカロリーを使うのが本質なのかもしれんよ。
なんも知らんジジイとかど素人さんとか。
プロしかあいてしないのは、むしろアマチュアの遊びといっていいかも
- 279 :ニューノーマルの名無しさん:2021/12/13(月) 23:17:46.93 ID:QZt07gOg0.net
- 日本の生産性が低い理由がわかるな
- 280 :ニューノーマルの名無しさん:2021/12/13(月) 23:53:26.81 ID:/PlOK12m0.net
- 無い無い
伸びてる会社はみんなコードに明るい
- 281 :ニューノーマルの名無しさん:2021/12/14(火) 00:30:16.66 ID:1eALayzf0.net
- >>280
いわゆるIT奴隷はバカな客やら上司に説明しないといけない
- 282 :ニューノーマルの名無しさん:2021/12/14(火) 00:33:48.97 ID:ZrUNak9Z0.net
- 詳しいことはよく分からん一般人は何をしておくのがいい?
適当につかってるソフトにも脆弱性があるかも知れんのよね
- 283 :ニューノーマルの名無しさん:2021/12/14(火) 01:14:12.41 ID:RDg76TTN0.net
- >>281
転職せえよそんなとこ
まともで稼ぎも良い職場いくらでもあるのに
- 284 :ニューノーマルの名無しさん:2021/12/14(火) 01:49:45.76 ID:y5QjcEau0.net
- Apache Struts を使用もやばいやんけ
- 285 :ニューノーマルの名無しさん:2021/12/14(火) 02:14:26.42 ID:1eALayzf0.net
- >>283
お前は何も分かってない
SIerの仕事の方が内製の仕事より圧倒的に給与がよい
- 286 :ニューノーマルの名無しさん:2021/12/14(火) 09:08:09.26 ID:kVDPimYf0.net
- よくこんなの見つけられるな
- 287 :ニューノーマルの名無しさん:2021/12/14(火) 11:49:59.08 ID:fyETclMx0.net
- log4jのスポンサー、たった三人しかいなかった
- 288 :ニューノーマルの名無しさん:2021/12/14(火) 22:51:23.12 ID:RDg76TTN0.net
- >>285
お前が言うならそうなんだろう
- 289 :ニューノーマルの名無しさん:2021/12/15(水) 07:08:09.33 ID:y+5l2/ea0.net
- 落ち着いたな
- 290 :ニューノーマルの名無しさん:2021/12/15(水) 07:30:31.45 ID:Bp7R73x40.net
- >>271
ひろゆきが口にすると自身の関与を疑われそう
- 291 :ニューノーマルの名無しさん:2021/12/15(水) 08:55:07.98 ID:MqecPaA00.net
- つこてへんし
- 292 :ニューノーマルの名無しさん:2021/12/15(水) 08:58:02.51 ID:t7GV2e550.net
- うわぁ、このクソ忙しいときに、超めんどくせぇ。
- 293 :ニューノーマルの名無しさん:2021/12/15(水) 09:08:46.77 ID:FH5sJLTP0.net
- こんな誰得な機能をなぜわざわざ盛り込んだのか
よく見つけたな
- 294 :ニューノーマルの名無しさん:2021/12/15(水) 10:46:44.81 ID:3p6ejYcR0.net
- iCloudはアプリの方だよね?
サーバ側は問題ないとは思うけど
まさかJavaで書いてあったとは
ネイティブでマルチプラットフォーム対応してないのは怪しい可能性があるってことかな
- 295 :ニューノーマルの名無しさん:2021/12/15(水) 10:51:33.22 ID:3p6ejYcR0.net
- スチームとかマイクラのもっさり感はJavaっぽいなとは思ってたけど
そういうアプリって結構あるよね
アレとかアレとか
- 296 :ニューノーマルの名無しさん:2021/12/15(水) 10:53:01.68 ID:0P5oGVLn0.net
- >>85
この脆弱性発見したのがアリババだからむしろ感謝すべき
- 297 :ニューノーマルの名無しさん:2021/12/15(水) 10:57:11.69 ID:3p6ejYcR0.net
- ボタンとかUIの形状にもJavaクライアントだとクセがあるし分かりやすい
- 298 :ニューノーマルの名無しさん:2021/12/15(水) 10:58:43.59 ID:FsHBZZw+0.net
- JAV 日本エロ動画
ジャパニーズアダルトビデオの略
- 299 :ニューノーマルの名無しさん:2021/12/15(水) 12:03:07.66 ID:/fNoaR/90.net
- 「アダルトビデオ」が国外で通用するのか?
- 300 :ニューノーマルの名無しさん:2021/12/15(水) 12:08:39.68 ID:Mt+SJwMC0.net
- もう世界で通用する言葉になってるんじゃないの?
- 301 :ニューノーマルの名無しさん:2021/12/15(水) 12:32:15.25 ID:zTQ6RyYe0.net
- >>294
いやサーバ側でしょ
- 302 :ニューノーマルの名無しさん:2021/12/15(水) 12:40:19.58 ID:3p6ejYcR0.net
- >>301
マジですか
ストラッツって使ってるとこ多いのかな
総レス数 302
65 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★