自動ニュース作成G
システムの重要な基盤「Log4j」の脆弱性が、世界中に“破壊的”な影響を及ぼしている
https://wired.jp/2021/12/12/log4j-flaw-hacking-internet/
2021-12-13 11:27:58
>バグを悪用されると脆弱なシステムを容易に遠隔操作される恐れがあり、関係者が対応に追われているのだ。
>セキュリティ専門家たちは今回の問題を「ひどい状況」であるとして、警戒と対応を呼びかけている。
そしてマインクラフトは対応
◇
Java版「Minecraft」にセキュリティ更新、極めて危険な「Log4j」脆弱性に対処
・対応するエンジニアに合掌。
・化石のような構成でシステムを作った天罰
・週末出先で話題になってたのを見掛けた時はてっきり対数ライブラリの問題が発覚したのかと思ったが、こっちのログだったのか
・JAVAってプラットフォームレイヤでセキュリティあるんだよね?oracleも『アプリケーションでセキュリティを実装する必要はありません。』と豪語してるし。 https://docs.oracle.com/javase/jp/9/security/java-security-overview1.htm だからJAVA処理系の脆弱性くらいしか対応不要と思ってたわ。プラットフォーム以下ではなくて、アプリ自身への脆弱性があるのかな?ちょっと記事を検索してみよう。
・#4 アプリケーションの実行権限で任意のコードが実行できるとか言う話では?
・IPA https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html にjpcert https://www.jpcert.or.jp/at/2021/at210050.html へのリンクがあった 。>Log4jには~ログとして記録された文字列から、一部の文字列を変数として置換します~遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで~通信先もしくは内部パスからjava classファイルを読み込み実行~可能性があります。< なるほど!
・なんとなく sqlインジェクション のJAVA版かなって印象。でも悪さできるのはJAVA VMの上だけだよね?それでも十分致命的かも知れないが
・全然違えよ。
・参考まで。『「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた』https://www.itmedia.co.jp/news/articles/2112/16/news128.html
・JAVAってセキュリティ上fork()exec()みたいなことは許してないのかと思ってたけどできちゃうのか。『外部プロセス起動』 https://www.ne.jp/asahi/hishidama/home/tech/java/process.html 『JavaのProcessBuilderを介したコマンドインジェクションについて』 https://ichi.pro/java-no-processbuilder-o-kaishita-komandoinjyekushon-nitsuite-155716241096844
・(続き)『OS コマンドインジェクション その危険性と対策』https://yamory.io/blog/about-os-command-injection/