元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾（1/6 ページ） Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。 IPA Apache Log4j の脆弱性対策について(CVE-2021-44228) Apache Log4j 2公式ページ Log4j 2で今回問題

[t_yano]

AppletにせよJINIにせよ、JavaのRMIではリモートクラスローダでロードしたクラスを実行するにはセキュリティマネージャが必要という仕組みになってるのに、なぜかJNDIだけがそうでなかったってのが根本の問題だと思ってます

[turanukimaru]

Java は JVM 用の C みたいなもので低レベルにも手が出せるし分散コンピューティングを目指してたからバイトコードのやり取りできて、実行コードを受け取って実行できる。例えば Go ならデータは遅れるけど関数が送れない

[kako-jun]

最後のページに、魔神が分散コンピューティングのJiniを指すというオチがあるけど、Log4jとどう関係あるのか理解らなくて、筆者の中では関係あるに決まってるようで、MMRのような読後感が残った

[lalala360]

リモートのclassファイルを読み込んで実行することができるようにJava自体が構想されていて、そのための仕組みはJavaに内蔵され続けている、Log4jはその仕組みを不用意に使ってしまって脆弱性につながった、という話

[onionskin]

確かに無理やり一つにまとめた記事だけど、内容はそうだね、というか懐かしい。/ JiniはJNDIとは別のlookupを持ってたらしいが、lookupはホントにプロジェクトの墓場。人類はいつ Google Search 以上の lookup を実現できるのか。

[versatile]

中国の怖さがわかっただけだった

[yuki_2021]

Javaの歴史が綿密に語られている。

[buzztaiki]

昔からあっただけに SecurityManager が secure by default じゃないんだよな。Javaの記憶大分失なってるから嘘書いてるかもしれないけど。

[jgoamakf]

JINIとかあった。懐かしい気分に

[inose660]

先日の『Mac は Linux だった』系の、釣りタイトルからのコッテリした昔話という記事（嫌いじゃない）

[Tiantian]

素晴らしい記事

[kobito19]

"「目玉の数さえ十分あれば、どんなバグも深刻ではない」という“考え方”（ナラティブとも）がある" そんなナラティブの使い方初めて聞いた / https://en.wikipedia.org/wiki/Narrative_review ってのがあったけど意味違うくない？

[t2wave]

javaの昔話

[knjname]

JNDIでクラスファイルをルックアップする仕様、今回の脆弱性の遠因がJavaの初期段階の思想にあるという話だといいたいんでしょう　確かに年月が経ってもはや初期思想や技術背景は死んでる

[sawat]

今回のLog4j2の脆弱性は Jini じゃなくて JNDI だけど、この２つは別ものだよね？ 分散コンピューティングという目的については共通点があるにしても

[JULY]

「Javaの豊富な分散処理機能の一つが、少しだけ間違った使われ方をした」という表現は面白いが、因果はそこじゃないと思う。バザールにしても分散処理機能にしても、現実に対して無邪気すぎる、と思う。

[saikyo_tongaricorn]

草

[lHMaUyzK]

OSSの危うさを掘り下げるのかと思って最後まで読んだけど、昔話だけだった