• はてなブックマーク
  • テクノロジー
  • Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
  • Twitterでシェア
  • Facebookでシェア

Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

テクノロジー カテゴリーの変更を依頼 記事元:piyolog.hatenadiary.jp
適切な情報に変更
835 usersがブックマーク コメント47

    記事へのコメント47

    • 注目コメント
    • 新着コメント
    prograti
    prograti 思わぬところで依存関係を持ってたりして調査するのが大変でした... ネットの情報は参考程度に留めておいて自分でちゃんと調査した方が良いですね。

    2021/12/13 リンク

    その他
    rna
    rna 1.xの件「第三者が設定ファイルを変更できる前提を考慮すると…直接不正なclassファイルを設置するだけでよい」リプによるとlog4j.propertiesをユーザー権限で変更可能なユースケースがあり、やはり脆弱性ではあるとのこと。

    2021/12/13 リンク

    その他
    satomi_hanten
    satomi_hanten なんで規定でONなの・・・。何を想定して作ったのこれ・・・。

    2021/12/13 リンク

    その他
    taku-o
    taku-o 今回のお祭りはちょっと楽しかったね。身近で、やりやすくて、影響範囲広くて。 / そっか。利用してるサービスのチェックがまだ終わってなかったわ。いやこれは良い資料ですわい

    2021/12/13 リンク

    その他
    kuzumimizuku
    kuzumimizuku 2系はとにかく更新しよう……という感じだけど、1系でLookupや同等の(脆弱性を突ける)構成変更をして使ってるところ、多いならマズいなあ。(今1系を使ってるところは「更新できない」か「2系だと困る」かだろうし)

    2021/12/13 リンク

    その他
    w1234567
    w1234567 自前のWebアプリ本体はすぐに調査出来るし対応出来るからいいんだけどミドルウェアや商用プロダクトの部分で地雷踏んでそうで怖い

    2021/12/13 リンク

    その他
    shiketanotsuna
    shiketanotsuna マイクラでのpocでちゃってるし無邪気な子ども同士が使って逮捕とか起きないかね。無邪気な子どもたちはアプデもしなかったりしなそうだし。

    2021/12/13 リンク

    その他
    kyousuke104
    kyousuke104 対応に追われている人はご苦労さまだけど、たまにこういうものがある方が、セキュリティ意識が高まって、結果的にはいいかも。

    2021/12/23 リンク

    その他
    dorje2009
    dorje2009 感謝!記事にもある影響製品リスト(https://github.com/NCSC-NL/log4shell/tree/main/software)が膨大すぎてもう...

    2021/12/16 リンク

    その他
    zyzy
    zyzy 分かり易くまとまってた。

    2021/12/14 リンク

    その他
    tailtame
    tailtame マイクラが一般レベルでは影響高いよなぁ…回避策起動推奨に…( ・`ω・´)

    2021/12/14 リンク

    その他
    nisisinjuku
    nisisinjuku ログにコードを書き込み外部から通信を誘う。って仕組みか。

    2021/12/14 リンク

    その他
    yu_fuk
    yu_fuk CVE-2021-44228についてキレイにまとめられている。

    2021/12/14 リンク

    その他
    adsty
    adsty 悪意のある文字列をログに記録させると任意のリモートコードを実行できてしまう。

    2021/12/13 リンク

    その他
    Nan_Homewood
    Nan_Homewood まとめ、ありがとうございます。いつも助かってます。

    2021/12/13 リンク

    その他
    yamadamn
    yamadamn id:masudatarou 今回の内容はOGNLには直接は関係ないJNDIルックアップですし、OGNLが脆弱性で問題になったのはStruts 2が主なので、"Java界隈"というのも主語が大きいと思います。同様の問題に見えるのは確かでしょうけど。

    2021/12/13 リンク

    その他
    shinobue679fbea
    shinobue679fbea Strutsのアレですよね

    2021/12/13 リンク

    その他
    buhoho
    buhoho ハッキングにあいましたみたいなニュースが、これからしばらく続きそうだな

    2021/12/13 リンク

    その他
    daishi_n
    daishi_n きっとどこかの奥底のAPIとかJavaベースのSDKにlog4j仕込んでたらあちこち修正だからHeartbleedより大変かもよ

    2021/12/13 リンク

    その他
    yuno001
    yuno001 Unixの考え方読んだことあるか?って感じ。古くからのOSS界隈の実装ってこんな感じなのかしら。

    2021/12/13 リンク

    その他
    kaiton
    kaiton 常にセキュリティパッチを当てていればWAFなんていらないとも思っていたが、こういった場合はあったほうが安心と感じた。いまだに影響範囲が見えない。。けれど、WAFはかなり高価だな~

    2021/12/13 リンク

    その他
    teppeis
    teppeis まとめ来てた

    2021/12/13 リンク

    その他
    w1234567
    w1234567 自前のWebアプリ本体はすぐに調査出来るし対応出来るからいいんだけどミドルウェアや商用プロダクトの部分で地雷踏んでそうで怖い

    2021/12/13 リンク

    その他
    hdkINO33
    hdkINO33 “なお、既に1.xはサポートが終了していることから今回の問題にかかわらず早々に2.xに移行することが推奨されている。”

    2021/12/13 リンク

    その他
    fashi
    fashi javaを更新するかwaf入れるのが簡単そうだな

    2021/12/13 リンク

    その他
    taruhachi
    taruhachi 〇〇といったコードを記載するだけで攻撃が成立してしまう可能性があります。ってどっかのブログに書いたら巡り回ってどこかのシステムで本当に発火して犯罪者になってしまうレベルのヤバさだと思ってる。

    2021/12/13 リンク

    その他
    programmablekinoko
    programmablekinoko 攻撃も簡単ということは対策も簡単だからな(影響はデカイけど)。にしても見つかってなかったのが不思議なくらい

    2021/12/13 リンク

    その他
    prograti
    prograti 思わぬところで依存関係を持ってたりして調査するのが大変でした... ネットの情報は参考程度に留めておいて自分でちゃんと調査した方が良いですね。

    2021/12/13 リンク

    その他
    cl-gaku
    cl-gaku Javaのバージョン上げてたから影響は思ったより小さく済んだ

    2021/12/13 リンク

    その他
    TrinityT
    TrinityT 5〜10年に一度レベルの脆弱性だな

    2021/12/13 リンク

    その他
    vanish_l2
    vanish_l2 誰かガンダムで例えてくれよ

    2021/12/13 リンク

    その他
    shioki
    shioki “影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software Foundationも脆弱性の深刻度を最高(Critical)と評価”

    2021/12/13 リンク

    その他
    hatomugicha
    hatomugicha やばいなあ

    2021/12/13 リンク

    その他
    lgx
    lgx Log4j緊急脆弱性

    2021/12/13 リンク

    その他
    teramako
    teramako v1.xへの影響皆無かと思ってたが、違うようだ。

    2021/12/13 リンク

    その他
    HHR
    HHR いつもありがたや。

    2021/12/13 リンク

    その他
    shiketanotsuna
    shiketanotsuna マイクラでのpocでちゃってるし無邪気な子ども同士が使って逮捕とか起きないかね。無邪気な子どもたちはアプデもしなかったりしなそうだし。

    2021/12/13 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

    2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記...

    ブックマークしたユーザー

    • techtech05212023/09/01 techtech0521
    • uehaj2022/04/01 uehaj
    • mjtai2022/03/23 mjtai
    • hamadola2022/01/11 hamadola
    • Shamisen07042022/01/10 Shamisen0704
    • N_T2022/01/06 N_T
    • TakayukiN6272022/01/02 TakayukiN627
    • nunux2021/12/24 nunux
    • kyousuke1042021/12/23 kyousuke104
    • yassan06272021/12/23 yassan0627
    • t_mori2021/12/22 t_mori
    • tosi292021/12/22 tosi29
    • sakef2021/12/22 sakef
    • dealforest2021/12/19 dealforest
    • auroralights2021/12/17 auroralights
    • shidho2021/12/17 shidho
    • imyutaro2021/12/17 imyutaro
    • benelux2021/12/17 benelux
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.