Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 1.何が起きたの? JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性(CVE-2022-22965)が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 2.脆弱性を悪用されると何が起きるの? 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の
モダンなJava開発ガイド (2018年版)
2018年現在でもJava開発をしていると、Antすら使っていないEclipseプロジェクトにそこそこの頻度で出くわします。Eclipseの自動コンパイルが通ればOKであり、ビルドはExcel手順書をもとに手動で行われ、依存関係ライブラリはもちろんlibフォルダに各種jarファイルが放り込んであります。Eclipse上以外ではどう動かせば分かる人がいないため、コマンドラインからビルドなどを行うことは叶わず、CI化なんて夢のまた夢です。 そんなJava開発から脱却したい人向けのJava開発のモダン化ガイドです。 基本的にJava 8以降での開発を想定しています。 OpenJDK/OracleJDK上での開発を想定しています。 Android開発の場合は一部適用できない可能性あり。 英語のIDE、ツール等は積極的に使用します。 英語嫌いだとモダン化は難しい。 Java開発全般を前提としているた
若手Javaエンジニア必見。知っておきたいフレームワーク・ツール23選 - エンジニアHub|若手Webエンジニアのキャリアを考える!
若手Javaエンジニア必見。知っておきたいフレームワーク・ツール23選 システム開発において、登場頻度が非常に高いJava。数多くのフレームワークやツールが存在しますが、一体どれを選べば、効率的な開発が行えるのでしょうか。おすすめのものを一挙にご紹介します! システム開発をする際、欠かせない存在なのが各種フレームワークやツールです。これらを導入することで、工数の削減やアプリの品質向上、セキュリティの堅牢化など数多くの利点があります。中でもJavaのフレームワーク・ツールは、Javaを開発に使用している企業の多さゆえ、利用される頻度も高いものです。 しかし、それらは数えきれないほどの種類があるため、知識の少ない若手のうちは「どれを選べばいいんだ……」と途方に暮れてしまうケースも少なくありません。 そんな悩みを解決するため、今回はよく使われるものから珍しい機能のもの、最近注目されているものまで
Javaにまたも未解決の脆弱性か、セキュリティ企業がOracleに通報
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、新たに2件の脆弱性に関する情報をOracleに提供したことを明らかにした。 ポーランドのセキュリティ企業Security Explorationsは2月25日、2件の脆弱性に関する情報とコンセプト実証コードをOracleに提供したことを明らかにした。Oracleは提供された情報について調査した上で返答すると伝えてきたという。 Security Explorationsは、過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。メディア各社はこの脆弱性について、Oracleが2月19日に公開したばかりのJava最新版「Java 7 Update 15」が影響を受けると伝えている。 JavaはOSを問わないマルチプラットフォーム対応の特性を利用して、WindowsとMacの両方を狙った攻撃に利用されるケースが急増している。最近で
[関数型言語のトレンド]国内でも採用企業が増加
「少数精鋭の開発メンバーで、短期間に新しい検索サービスを始められた」。特許情報などの無料検索サービスで200万人以上の会員を抱えるアスタミューゼ。同社でサービス開発を統括する三木隆史プラットフォーム事業部部長は、こう語る。スピードの秘密は、開発言語選びにあった。 同社が採用したのは、業務系システムの開発で主流になっているJavaでも、Webシステムで人気を博すRubyやPythonでもない。「関数型プログラミング言語」と呼ばれるオープンソースの開発言語の一つ、「Scala(スカラ)」だ。 Scalaは今、世界的な注目を集める。米ツイッターや米リンクトイン、英ガーディアンなど海外の名だたる企業が自社サービスの開発に採用したことで一気にその名を知らしめた。Scalaの推進企業である米タイプセーフは2012年8月に1400万米ドル(約11億円)の資金を調達。Webアプリケーションや分散処理システ
![[関数型言語のトレンド]国内でも採用企業が増加](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
Oracle、Javaのアップデート公開
米Orcaleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。 米Oracleは1月13日、Java 7 Update 10以前で指摘されていた脆弱性を修正する「Java 7 Update 11」を公開した。同社Webサイトからダウンロードできる。 脆弱性が存在するのはJava 7 Update 10以前で、Java SE JDKおよびJRE 6には影響しない。悪用されれば任意のコードを実行される可能性がある上に、この脆弱性を悪用する攻撃コードが出回っていることから、セキュリティ機関が注意を呼び掛けていた。 このアップデートでは、脆弱性の修正とともに、Javaコントロールパネルにおけるセキュリティレベルの初期設定も変更。これまでの「中(M)」から「高(H)」に変更することで、署名が付いていないアプレットを実行
JVNTA13-010A: Oracle Java 7 に脆弱性
以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム Java Platform Standard Edition 7 (Java SE 7)Java SE Development Kit (JDK 7)Java SE Runtime Environment (JRE 7)OpenJDK 7 および 7uIcedTea 2.x (IcedTea7 2.x) Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。 なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。 細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol
JavaによるマルチOSスマホアプリ開発「Codename One」登場、Javaの父GoslingがTシャツを投げた!
2012年9月30日から10月4日まで開催されたJava開発者の祭典、JavaOne Conference(以下、JavaOne)2012。JavaOne初日の基調講演レポートに引き続き、Community Keynoteとテクニカルセッションを総括しよう。 Javaの父Goslingも登壇―Community Keynoteまとめ JavaOne最終日となる10月4日にはCommunity Keynoteが行われた。Community KeynoteはJavaのコミュニティの現状を総括する基調講演で、豊富なユーザー事例や独創的なJavaの応用例紹介が目白押しなことから毎年Technical Keynoteと並んで注目を集めている。 AMDによるヘテロジニアスコンピューティング―「Project Sumatra」 Community Keynoteの最初を飾ったのはProject Suma
Javaプログラマが知るべき9のこと - @katzchang.contexts
はじめに ソースコードは設計であり、コードの記述は品質に直結するのは言うまでもない。ちなみに、プログラマにとって特に重要なのは保守性だ。コードは書いた直後から保守対象となるからだ。コードは要求文書の範囲で動けばいいと思っている人がいれば今すぐ、ソースコードをコピペして100klに増えるプラグインがいつの間にかインストールされる呪いをかけてあげよう。幸い、ここを読んでいる人にはそんな人はいないだろうと思うけれども。 ということで、コードの品質を下げる要因、すなわちシステム全体の品質を下げる要因となり、かつ使われやすいアンチパターンを挙げ、対策を検討していくことにする。対象は以下: 出力パラメータ 処理状態返却 意味のある配列 無意味な初期化 多すぎるtry-catch 暗黙の順序 コンパイラ警告の無視 過剰なコメント e.printStackTrace() 出力パラメータ メソッドの引数にオ
特集 私がJavaからC#に乗り換えた10の理由(1/4) - @IT
起きてから寝るまで、息を吸うのも、厠(かわや)での一連のアクションも.NET Frameworkで構築している私だが、実は少し前まで目を閉じるとまぶたの裏でJavaのマスコットである“Duke”がゴーゴー・ダンスを踊っちゃうくらいにJavaな日々を送っていた。そんな私が過去の資産を捨てて.NET Frameworkに転んだ理由は簡単。.NET Framework、特にC#の設計思想が私のし好に合っていると感じたためだ。 本稿では、私がJavaからC#に乗り換えた理由を示し、それを基にC#の“正しい”使い方について考察する。C#に興味のあるJavaプログラマや、どう使えばよいのか悩んでいるC#プログラマに読んでいただきたい。そうそう、アーキテクトにも。プログラミングできないアーキテクトなどあり得ないのだから。 C#とJavaは似ていない。確かに表面上は似ているが、C#にはJavaにはない文法
高木浩光@自宅の日記 - 続・厚生労働省の脆弱性放置は何が問題とされているのか, 追記(11日), 追記(14日)
■ 続・厚生労働省の脆弱性放置は何が問題とされているのか 一昨日の日記の続き。結論から言うと、今日気付いた事実により、一昨日の最後の節「Sun Microsystemsの愚行」は取り消さねばならない。その問題は昨年既に解決されていた。したがって、電子政府でとるべき措置も明確になった。 目次 JREの脆弱性には2つのタイプがある 「電子申請システムを利用するにあたっては問題ありません」が嘘になる場合 JRE組み込みのアプリケーション開発という方法 Java Updateしても古いJREが消えない問題 ファミリバージョン指定という5.0 Update 7以降の機能 電子申請システムを安全かつ便利にするため今なすべきこと JREの脆弱性には2つのタイプがある まず、JREの脆弱性とは何かを確認しておく必要がある。JREの脆弱性には大別して2つのタイプがある。sandboxの柵が破れる脆弱性と、そ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『モダンなJava開発ガイド (2018年版)』へのコメント
Blogs | Trellix
Oracle、「Java 7 Update 13」を2週間以上前倒しで公開