ソース
https://search.yahoo.co.jp/realtime/search?p=log4j2&;fr=top_ga1_sa&ei=UTF-8
既にマイクラのサーバなどが攻撃されている模様
SaziumR
@SaziumR
【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。
既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。 マージ後、機能のプルリクエストだした奴がトンズラ
↓
しゃあないからプロジェクト側で面倒見てた
こんなんマージすんなよ
0338番組の途中ですがアフィサイトへの転載は禁止です (デーンチッW 47f1-hAzQ)2021/12/12(日) 19:10:32.56ID:+SxMPfDM01212
0339番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 7fdf-zJUN)2021/12/13(月) 00:28:05.59ID:UKtWxTUj0
>>337
このライブラリじたいも7人くらいしかメンテナいないからな
オプソに有りがちな人不足ってやつ 0341番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ a71c-WqSy)2021/12/13(月) 01:34:51.89ID:qn2BD16x0
>>340
ゴミすぎて草
普通にアップデートしろよ 0342番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ df85-xLgN)2021/12/13(月) 04:50:30.25ID:2w/Bxxxy0
てかもうそろそろjavaとか言う化石使うのやめたら?
0344番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW dfa2-RVpf)2021/12/13(月) 05:25:16.46ID:lZZQ4p6P0
>>343
たまたまJavaのライブラリだっただけ
脆弱性の発生の仕組みから考えると他で起きる可能性は十分にある
というかJavaみたいに枯れかけ扱いされてる言語より勢いある言語のほうが多分ヤバい 0345番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 67b9-djB8)2021/12/13(月) 05:39:46.29ID:3iZJfhbV0
0346番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ e74b-ReYX)2021/12/13(月) 05:46:07.45ID:qAEBMP4j0
>>342
立件ミンスがワクチン予約サイトのハッキング手段を新聞記事にしやがったからな
あいつら反省しろよ >>344
Javaの成り立ちレベルから現在に至るまでの問題だから
お前が言ってるのは全く関係ない 0348番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW c7c6-XYQM)2021/12/13(月) 06:09:44.77ID:KqRH7ywx0
歴史が長いからこそのバグって感じ
新しい言語で作り直したときに洗練されてってるから新しい言語ほどこういうバグは出ない
ElasticがうちはJava Security Manager使ってるから問題ないよというアナウンス出してるのみたとき負けたと思った
まああいつらはRMI使っとるから当然と言えば当然なんだけどあれをまともに使えるとかすげえよ
0351番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW dfa2-RVpf)2021/12/13(月) 06:35:41.11ID:lZZQ4p6P0
>>346
どんだけ認知能力歪んでたらそういうデマを平然とばら撒けるようになるんだ? 0352番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 673c-LuAA)2021/12/13(月) 06:35:48.66ID:UEC0rRVV0
>>340
これええな。ホワイトハッカーが255^4個のサーバに対して打つだけで治るやん
ああ、でも名前ベースのApacheとか使ってると駄目なのかな。じゃあ全ドメイン Japのプログラマーはレベルが低い
外国ではJavaは時代遅れだと聞いた
海外でもエンプラはJavaが強いし、Googleが妙にJava好き。
0355番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 7fdf-zJUN)2021/12/13(月) 09:54:18.92ID:UKtWxTUj0
>>344
少なくとも無制限に外部からの動的ロードを言語レベルで許す仕様がセキュア重視の今の時代に合ってない >>355
無制限ではないんだな
ちゃんと制限かける仕組みがある
問題は日本国内だと話題にならないだけ 便利だなと思ってと恐ろしい仕組みを提案しちゃう人とレビューで通しちゃう人が居たんだから、そのペアは別の言語なら別のところでやらかすのでは
0358番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ ff87-8/hI)2021/12/13(月) 10:16:13.44ID:wArqGe+Q0
GoogleのJava好きは凄いよね
今回の問題はどちらかというとあまりJavaっぽくない問題の出方というか
設計レベルでそんなところに森羅万象機能盛り込むのがおかしいっていう「お前はPHPerか」みたいな話
「お前はPHPerか」草ww
PHPerもJavaerもピンキリですわ
0360番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ ff87-8/hI)2021/12/13(月) 10:32:33.04ID:wArqGe+Q0
>>356
まあ死ぬほど使いにくいセキュリティマネージャを細心の注意を払って使わないとセキュアにならない
というのがそもそも設計としてヤバいっていうかログごときでそんなセンシティブなの嫌すぎる 0361番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 47d1-y1sJ)2021/12/13(月) 10:34:08.22ID:l532vdWp0
>>360
根本はそっちだね
なぜロガーごときがパースしてんだよという 0363番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 673c-LuAA)2021/12/13(月) 10:43:47.33ID:dcfO758M0
いま会社で一斉点検してるけど、全員warファイルをガン無視してて草。
まぁ、ここまで気にすると一生終わらんしな。簡易チェックで済ませたい気持ちは分かる。試しに自分で攻撃すりゃいいのに
これプロジェクト側でlog4j使ってなくても
内包しているjar側で使ってたらあかんから全部確認しないといかん奴?
だとしたら相当めんどくさいんやが…
まあそのへんは人次第でなんとかなるんだよな
悲惨なのはベンダーが提供してるフレームワークやらミドルウェアがlog4j使ってて提供元で対応してくれないとどうにもならない場合
0366番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ff3a-uIMf)2021/12/13(月) 11:16:57.61ID:OBIJKBYn0
弊社一応アイテーの会社なんやけど、誰も対処できてなくて
「セキュリティベンダーに問い合わせたところ〜だそうです」
「ベンダーが言ってるので〜してください」
「そういう事らしいので〜してください」になってて草生える
これはもうだめかもわからんね
>>365
FWで必要最低限以外の通信を全てブロックすりゃあ良いのでは
外部からjavaクラスファイルをダウンロードされなければ大丈夫だと思うんだが 0368番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ff3a-uIMf)2021/12/13(月) 11:26:31.35ID:OBIJKBYn0
>>367
通信要件を誰も把握してなかったりとか…😇
こういう時こそどれだけ真面目に設計してるかが問われるな 0369番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ ff87-8/hI)2021/12/13(月) 11:30:02.91ID:wArqGe+Q0
「クラスファイルのDLすらできてしまう」であって
クラスファイルをDLしなければ問題ないっていう話ではないのよ
まずロガーのフォーマッタが環境情報を参照できる、つまりDB情報などを参照できてしまう
で、クラスファイルをDLしなくてもそもそもhttpが叩ける時点でGETパラメータとして環境情報を持ち出せるのでhttpアクセスが通ること自体がアウト
なんならhttpをシャットアウトしていても、ホスト名の部分に埋め込めばDNS Lookupとして抜くことも可能だから、DNSすら引けてはいけない
というようなことを踏まえるともうこれ設計の根本がフェイルセーフじゃないってことになる
0370番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 6757-rA5d)2021/12/13(月) 11:33:33.40ID:vpztCLjl0
>>107
素人で申し訳ないが{}と+の違いってどういう事? 0371番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 87df-YqIs)2021/12/13(月) 11:35:24.79ID:jgoCduI50
orcaクラウド版とか、大丈夫なの?
あれから漏れたら、洒落にならんだろ
0372番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 2763-11Ka)2021/12/13(月) 11:36:25.59ID:HUdyu0ZN0
一体何が始まるんです!?
0373番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ df54-fHxG)2021/12/13(月) 11:37:12.62ID:9jzTvN8V0
Ciscoも製品にこの脆弱性があるって発表しているし、
通信経路上のどこで問題が起こるかわからんぞこれ。
0374番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 7fa2-3k8P)2021/12/13(月) 11:38:26.12ID:TR8ip7X20
外部のクラスファイルをロードする謎のプラグイン的なことやる仕組みが紛れてる可能性あるからjar内のクラスをgrepするだけじゃ不十分かも知れないな
チェックしたからと言って例のオプション付けるのも忘れずに
0375番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ ff87-8/hI)2021/12/13(月) 11:40:18.20ID:wArqGe+Q0
>>370
log4jには第一引数に{}を書くと第二引数以降の値をパラメータとして埋め込めるという機能がある
で、単なる引数からの参照だけでなく{foobar}のような書き方で様々な環境情報を埋め込めるという(クッソ余計な)機能がある
ここまで前提
log.debug("user-agent={}", userAgent);
↑この書き方だと{}のところに変数userAgentの内容を埋め込むだけ
log.debug("user-agent=" + userAgent);
↑userAgentこれだとuserAgentに{foobar}を書き込むことでインジェクションできてしまう 0376番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ff3a-uIMf)2021/12/13(月) 11:41:43.65ID:OBIJKBYn0
>>372
大後悔時代だよ
丸投げで作らせて後は知らん顔されてるようなサービスが続々死ぬんじゃないか 0377番組の途中ですがアフィサイトへの転載は禁止です (オッペケ Sr1b-Iirw)2021/12/13(月) 11:51:59.69ID:btZUQ7A3r
Java暗黒時代の始まり
0378番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 47d1-y1sJ)2021/12/13(月) 11:52:09.02ID:l532vdWp0
「もしもし、御社に頼んだプログラムに脆弱性があるんですけど」
0379番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW df3a-8S32)2021/12/13(月) 11:56:40.34ID:a4Jdp04J0
クソコードに対処しなきゃならんのだからライブラリ作成は辛いわ
0380番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ff3a-uIMf)2021/12/13(月) 11:57:04.25ID:OBIJKBYn0
>>378
ITゼネコンとかこのレベルの温度感よな
責任逃れのプロかて 0381番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ a70d-1bVk)2021/12/13(月) 11:59:49.90ID:UVRrXmG30
あと2週間遅く公開してたら阿鼻叫喚だったのにな
クリスマス〜年末年始の時期だし
0382番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ff3a-uIMf)2021/12/13(月) 12:03:14.98ID:OBIJKBYn0
オリンピック期間中とかでもなくてよかったな
4億回の攻撃を防いだ(キリッ)とか言ってる場合じゃなくなってしまう
ログをjndiでgrepしてヒットなかった👍
ベンダー的にはパロアルトはセーフ、オラクルweblogicがアウト、オラクルDBはセーフっぽい感じ
0384番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ bf84-NEWQ)2021/12/13(月) 13:02:58.12ID:9FBegjok0
0386番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ bf84-NEWQ)2021/12/13(月) 13:04:51.28ID:9FBegjok0
>>367
実は外部からダウンロードしなくてもこの脆弱性使って攻撃できる 0387番組の途中ですがアフィサイトへの転載は禁止です (オイコラミネオ MM7b-EgpP)2021/12/13(月) 13:06:43.68ID:7IOQTzV8M
金曜日にjvmオプションについて書いたけど
バージョンが古いとこれもダメかあいたたた
