マイクラもハッキング ～「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】／「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。【やじうまの杜】

[fukken]

マイクラだと、武器に名前をつける際に攻撃コードを入力し、それでプレイヤーをキルしたりするだけで成立するらしい（キルログが出力されるところで引っかかる）

[ydf]

Service系の商品にLog出力を導入する時に、OSSのLog系Libを多数調べたが、どれもlog dataの管理とインスタンスの解放のタイミングに不安な点が見つかって、結局すごく簡単なLog出力をゼロから自分で作った。

[u_mid]

"この脆弱性は11月24日にAlibaba Cloudのセキュリティチームによって報告" "対策版（v2.15.0）はすでにリリースされている"　リリース日は12月6日。今はゼロデイ脆弱性ではないってこと？／あ、ゼロデイという表現が消えた

[kuippa]

ああ、このレベルだと時既に遅しになってそう。入られた跡すら痕跡残さずバックドアまでしかけられてそう。

[robokichi]

"起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もある"　設定による回避策があるならまだ救いがあるが……。実際どうなんだろう。

[harumomo2006]

会社にLog4jを使ってませんかって問い合わせが来てたのこれか

[pyagatupa]

技術系の出版社ならハッキングとか言わないでほしい

[jazzanova]

自分のサーバもバージョンアップした

[ming_mina]

起動時のパラメーターを信頼していいのだろうか

[degucho]

https://ezoeryou.github.io/blog/article/2021-12-10-log4j.html

[kyukyunyorituryo]

Commons Logging使ってたらやばいのかな

[sirobu]

CVE-2021-44228

[electrolite]

これからUSが朝になってもっと大騒ぎになり、金融系に飛び火すると思われる。オンライン決済の全滅を想定して現金をおろしておいたほうが良いかも。

[fashi]

VSCodeとかAndroid Studioに入ってるのもやばいのかしら

[tengaar]

ユーザが入力した文字列をログにそのまま出力するコードがあるとダメ、という認識でいいのかな？まあ、そうでなくてもライブラリを更新するべきだろうが。

[Fushihara]

任意のクラスファイルを実行できるとか意味が分からないよ

[karia]

“Solr”