1: 稼げる名無しさん 2021/12/10(金) 19:30:35.24 ID:xiaBfHy29.net
※ITmedia NEWS

「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html

2021年12月10日 16時42分 公開

 Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。

 例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。

 Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。

 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。

 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。

 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。

https://twitter.com/nullpo_head/status/1469152015637151745

(略)

※省略していますので全文はソース元を参照して下さい。
(deleted an unsolicited ad)

1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku

この対応は緊急すぎるし徹夜案件になりそう。
yaruyara_niyari
 使っているところは急ぎ対応をだな。




1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku




現在よく読まれているニュース!:





以下2chの反応と管理人の反応です






2: 稼げる名無しさん 2021/12/10(金) 19:32:00.24 ID:SxVZM+Aa0.net
Javaは言語仕様が綺麗じゃないから嫌。
C#のほうが遥かに良い。

7: 稼げる名無しさん 2021/12/10(金) 19:35:03.35 ID:6m1cB8u50.net
>>2
アホ
後発の方が良い物が出来るに決まってんだろ
C#はjavaとC++から良いとこどりして作った言語だ

9: 稼げる名無しさん 2021/12/10(金) 19:37:23.68 ID:SxVZM+Aa0.net
>>7
C#はDelphiをC言語風の文法にしたもの。
アーキテクチャはDelphiそのもの。

12: 稼げる名無しさん 2021/12/10(金) 19:38:13.16 ID:AXUy6gY90.net
>>9
Delphi の標準ライブラリにあるバグもそのまま移植されてるという笑い話

22: 稼げる名無しさん 2021/12/10(金) 19:42:38.00 ID:7A4MdNQQ0.net
>>12
でもMicrosoftはいいものを買ったよな
Borlandの言語部門なんて

24: 稼げる名無しさん 2021/12/10(金) 19:45:08.97 ID:8lS8jKuS0.net
>>7
結局C#が良いって言ってんじゃん

3: 稼げる名無しさん 2021/12/10(金) 19:32:43.11 ID:T1iwrCAX0.net
ようこそJavaリパークへ

6: 稼げる名無しさん 2021/12/10(金) 19:35:01.82 ID:2+nKzMR20.net
>>3
ホントのバグはここにある

4: 稼げる名無しさん 2021/12/10(金) 19:32:43.31 ID:Sr9zZ2eX0.net
マジかよやべえ…

11: 稼げる名無しさん 2021/12/10(金) 19:37:29.53 ID:AXUy6gY90.net
log4j はちょっとヤバいな・・・

zlib の脆弱性のパニックに匹敵する範囲

13: 稼げる名無しさん 2021/12/10(金) 19:38:39.99 ID:02VVpUS80.net
独自のロガーを実装していた俺様埼京!(別の脆弱性の可能性は認める!)

14: 稼げる名無しさん 2021/12/10(金) 19:38:55.43 ID:TReZ3Ler0.net
Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか

18: 稼げる名無しさん 2021/12/10(金) 19:40:46.53 ID:M7eh7uKK0.net
VMのくせに任意コード実行とかされるの?

31: 稼げる名無しさん 2021/12/10(金) 19:48:14.61 ID:9u4Gh7J10.net
>>18
JNDI という、クラスを動的に呼び出す機能がある。

23: 稼げる名無しさん 2021/12/10(金) 19:42:56.56 ID:bkTfFcZz0.net
世界中のITエンジニアが徹夜だなこりゃあ

25: 稼げる名無しさん 2021/12/10(金) 19:45:12.29 ID:KWgGdpXY0.net
同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな

27: 稼げる名無しさん 2021/12/10(金) 19:45:45.93 ID:5cK26Bdg0.net
あー月曜が憂鬱すぎる・・・・これ結構面倒そう

29: 稼げる名無しさん 2021/12/10(金) 19:46:42.72 ID:z2HejKx10.net
マイクラはオープンなマルチとかじゃなければ大丈夫なのかな

Steamはかなりまずそうだが

40: 稼げる名無しさん 2021/12/10(金) 19:51:35.97 ID:XHSPlzCK0.net
(・∀・;)きついな

41: 稼げる名無しさん 2021/12/10(金) 19:52:25.39 ID:4W1ogC3A0.net
バグがない言語なんてないよ

53: 稼げる名無しさん 2021/12/10(金) 19:57:16.98 ID:7A4MdNQQ0.net
起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サー

57: 稼げる名無しさん 2021/12/10(金) 19:58:34.56 ID:7A4MdNQQ0.net
>>53
途中で送信してしもた
暫定回避策は見つかったようだな
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1373242.html

63: 稼げる名無しさん 2021/12/10(金) 20:03:59.89 ID:LVNak4DP0.net
1に貼ってある元記事の手順見るとめちゃくちゃ簡単だな

94: 稼げる名無しさん 2021/12/10(金) 21:29:30.38 ID:ba+iYdBg0.net
今までのjava案件で100%使ってるわ、知ったこっちゃねーけど

1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku








現在よく読まれている記事:





引用元:ai.2ch.sc/test/read.cgi/newsplus/1639132235/

タグ :
バグ
これは酷い
java