log4j2の脆弱性を使って実際に任意コード実行してみました👀
こんにちは。かえると言います。 Twitterでは https://twitter.com/harukaeru_en で活動しています。日本人です。 日本語版: https://twitter.com/harukaeru1981 何番煎じかわかりませんが、log4j2の任意コード実行ができるようなので、実際に実行してみて、どれぐらい危険なのかをここに書くことにしました。 どういう脆弱性なのか?(TL;DR) 簡単にいうと、Webサイトやゲームサーバなどのテキストボックスで のように書くと、そこのサイトにあるJavaのclassファイルを、標的のサーバ内で実行することができます。(実際はこれとはちょっと書き方は違っていて、これは擬似コードなので動きません) 標的のサーバでは、そのclassファイルを使って自由にコマンドを呼び出せます。 ↓のように、こういったコマンドをjavaファイルの中に書
grepでログ解析をするなんてひどい話だ | POSTD
今でも、 systemdのjournal におけるバイナリのストレージフォーマットに関して、不満を漏らす人が多くいることに私は驚きを隠せません。私は長年、システム管理者として働いてきており、1年以上も syslog-ng の オープンソースエディションのメンテナ として活動してきました。だからこそ、テキストではないストレージフォーマットに対して、なぜ多くの人が批判的なのか、私は理解に苦しんでいます。更に、反論を唱える人までいることが信じられません。もしかしたら、私は別世界の人間なのかもしれません。ですが、より良い選択肢があるのに、テキストのストレージを使う理由はほとんどありません。ロギングをする必要性、そしてなぜ、テキストのログストレージに対してそこまで用心深いのかについて、私は何度も尋ねられました。ここに、私が導き出した答えを紹介したいと思います。 これは、journalについて弁明する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
