Java、終わる [788192358]

1 ::2021/12/10(金) 23:51:31.92 ID:mF2r1jft0●.net ?2BP(10000)

「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
2021年12月10日 16時42分 公開
[松浦立樹,ITmedia]

 Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。

 例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。

 Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。

 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。

 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。

withpop
@anoparanominal
log4jのやつ、LDAPを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードするらしい。なんでこんな謎機能が実装されてるの…?
午後2:55 · 2021年12月10日

Takuo Kihira
@tkihira
今回の log4j の脆弱性が大惨事である理由としては、Java でサーバサイド作っていれば直接でなくても依存で使っていることがほとんどで、関係ないと思っていても大体関係していることなんですよね。そして対策するのが相当大変なので放置する会社が多そうなので、暗黒期突入まで可能性あります。
午後1:25 · 2021年12月10日

https://www.itmedia.co.jp/news/articles/2112/10/news157.html

66 ::2021/12/11(土) 00:46:13.13 ID:Ryumz6z00.net

>>63
ツギハギの中継に使ってるとか使ってないとかって話があったようななかったような

160 ::2021/12/11(土) 09:23:07.09 ID:522egzBh0.net

Log4jギフハブに公開されてるだろ
何で世界中の天才達は今まで脆弱性に気付いてなかったんだ?

70 ::2021/12/11(土) 00:50:49.64 ID:e93/pQIh0.net

>>67
そんな事になってんだ
もうどうでもいいけど

68 ::2021/12/11(土) 00:47:52.48 ID:7XnT97S70.net

マイクラJava版実質終了のお知らせ

189 ::2021/12/11(土) 12:05:57.41 ID:TH6rLNA10.net

マイクラ1.2.5死ぬの?MODで対応できる?

162 ::2021/12/11(土) 09:27:01.06 ID:uofwR5FH0.net

最近PHPばっか
ソースが汚いのばっかでイライラする

33 ::2021/12/11(土) 00:17:24.29 ID:1gf9/VoI0.net

CVE-2021-44228(ヨシフには)

166 ::2021/12/11(土) 10:04:43.34 ID:quABIdrf0.net

これ、穴じゃなくて、確信犯なのでは?

113 ::2021/12/11(土) 02:31:32.76 ID:n1W/25C/0.net

selfじゃなくてwaiにしてるわ

54 ::2021/12/11(土) 00:34:39.49 ID:rgexIKlt0.net

もう終わりだよ我が社

51 ::2021/12/11(土) 00:29:17.39 ID:vHhGZuGU0.net

お前んちのルーターもヤバい

25 ::2021/12/11(土) 00:10:39.39 ID:EVbn+uiH0.net

>>23
気色悪いわ

103 ::2021/12/11(土) 01:57:06.13 ID:Y7t2/69m0.net

3 billion devices run java

242 ::2021/12/12(日) 16:29:36.40 ID:ZjU4ZLEE0.net

まぁ、Loggerは自分で作るなぁ
市販のものは高機能すぎて邪魔だったり、痒いところに手が届かないからな

ここまで高機能ではないけど、自分でつくって実装してるわ

123 ::2021/12/11(土) 03:57:38.37 ID:nyFDCRhI0.net

Java使ってる専ブラあったよね

74 ::2021/12/11(土) 00:53:53.19 ID:FOdAkIsg0.net

707 名前:大勢の有志と、田中寛喜 2021/12/10(金) 23:51:00.98 ID:ziTbJU5a
中国は前の文化大革命で数百万人から2000万人以上も亡くなっているという情報だが、では現在では既に600万人未満くらいの死亡が決まっているという情報が入った。電波にいる中国軍の人が発言していた。

709 名前:大勢の有志と、田中寛喜 2021/12/11(土) 00:45:36.84 ID:9yw8xJCo
当時の中国での文化大革命で何百万人以上も殺されたのは、良い方の人達の方だったとの事。正義側の中国人だったのに、悪人らに集団で拳銃で囲まれたことによって次々殺されたらしい。当時の中国では悪人側が勝ってしまったらしい。

この2つは並べて書きましたが、前回が良い人の方が殺されています。現在の方の事ではありません。
日本では警察犯罪が表に出ると、28万人の内半数くらい殺されるという情報が出ています。日本では警察が犯罪側であり、被差別で長年耐えている良い人の方のニッポン人をこれまで大勢殺してきています。今回日本では良い人の方が勝てそうです。

198 ::2021/12/11(土) 12:31:58.20 ID:QljDUOpY0.net

Javaカレー辛口

121 ::2021/12/11(土) 03:44:42.45 ID:48xCPGKV0.net

log4jなついな。
以前の会社で作ったシステム、ちゃんとメンテされるかな?

129 ::2021/12/11(土) 06:19:08.30 ID:ryIg0HTG0.net

> LDAPを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロード

これ、故意に穴開けてるよね

35 ::2021/12/11(土) 00:19:08.05 ID:AfCIBSFY0.net

>>28
設定できるリソースあるなら同時にlog4j本体入れ替えるやろ

34 ::2021/12/11(土) 00:17:29.26 ID:rmBgLwNL0.net

UA弄ってそれらしいサイトにアクセスするだけで爆撃できちゃうんじゃね?

15 ::2021/12/10(金) 23:59:28.90 ID:BFVgJ2Km0.net

javaはオワコン

153 ::2021/12/11(土) 08:47:49.33 ID:ZlmVk1ZZ0.net

これって標準のロガーとなにが違うんだ?
みんなこっち使ってるの?

39 ::2021/12/11(土) 00:21:58.92 ID:AfCIBSFY0.net

>>34
その環境に合った意味あるパス入れないと不発な上に不審者扱いされるだけやろが

75 ::2021/12/11(土) 00:56:00.29 ID:Vtygvph70.net

これよろしくないな

228 ::2021/12/12(日) 03:32:21.08 ID:/Q9afT5p0.net

log4jを更新して全体の動作確認したら良いんじゃね?

49 ::2021/12/11(土) 00:26:38.19 ID:1uhaC/P20.net

>>44
log4jがヤバイってだけだろ

199 ::2021/12/11(土) 12:32:46.07 ID:cEDy7gRg0.net

1.xもアウトってのが本当なら影響でかすぎるな

Java 8対応してないレガシーシステムなんて山ほどあるだろうし

197 ::2021/12/11(土) 12:27:52.62 ID:A5PVggSj0.net

サードパーティーJava8導入してる所の移行が発生するのかな

219 ::2021/12/11(土) 17:40:09.94 ID:cE3flADW0.net

ヌルポ

240 ::2021/12/12(日) 13:40:54.57 ID:fTnSRmuY0.net

>>228
どこで使われているのかを把握するのが大変なくらい、非常に多くのシステムに組み込まれているので

137 ::2021/12/11(土) 07:06:47.56 ID:e+TvwV3U0.net

>>29
鳥取県はインターネット開通したの今年だから許してやれ

23 ::2021/12/11(土) 00:07:33.71 ID:J7MyYfO70.net

ぬるぽ

80 ::2021/12/11(土) 01:04:23.41 ID:kZ/+p2YM0.net

まあ誰かが直してくれんだろ(他人事)

208 ::2021/12/11(土) 13:55:41.67 ID:xnb2EtMs0.net

>>193
ユーザーとしてもディベロッパーとしても経験が無いことを
素直に告白しているなんて偉いね!

41 ::2021/12/11(土) 00:22:14.30 ID:ZZsGVQbJ0.net

Javaとかまだ使ってる人いるの?

92 ::2021/12/11(土) 01:23:25.62 ID:NfFUXUJg0.net

Javaってサーバサイドで使われてるのか
組み込み系かと思ってた

209 ::2021/12/11(土) 14:11:02.45 ID:bauJp5sF0.net

最近はすっかりJAVA TEA見ないけどまだあるんか?

12 ::2021/12/10(金) 23:57:22.94 ID:xFx60goo0.net

カレーライス食えなくなるの?

248 ::2021/12/12(日) 23:00:35.56 ID:a1VdRvY70.net

>>244
不具合出たらその指示したやつの責任になるならいくらでも入れ替えるよ。
でも実際は作業したやつの責任になるんだ。

30 ::2021/12/11(土) 00:15:52.98 ID:77ZrLOJX0.net

医療系画像形式のDICOMってjavaプラットフォーム多くなかったっけ?
昨日何かのスレで話題になってたMRIの検査結果とか
日本の医療系って丸裸だね
いまだにLINEとか使ってるクズとかもいるし

57 ::2021/12/11(土) 00:36:41.97 ID:syCTTeY20.net

V2C終わったか

250 ::2021/12/13(月) 16:19:11.97 ID:e8Yn+9K30.net

(゜∀。)アヒャヒャヒャヒャヒャ…

人気ライブラリ「Apache Log4j」に深刻な脆弱性、悪用も – 影響の確認や対策の実施を
https://www.security-next.com/132376

「Apache Log4j」の脆弱性、VMwareの36製品に影響
https://www.security-next.com/132381

「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性
https://www.security-next.com/132387

136 ::2021/12/11(土) 06:59:10.27 ID:qu5xM12+0.net

>>130
そだね
早いところは今日の午後から祭になりそう

73 ::2021/12/11(土) 00:53:31.01 ID:BikHdN860.net

JavaダバJavaダバ〜
ウィ〜Javaダバ!

210 ::2021/12/11(土) 14:23:00.03 ID:vnTWz5h30.net

>>209
ジャズイン飲みたい

241 ::2021/12/12(日) 16:19:29.75 ID:JGr2Qup+0.net

あ、GABA

180 ::2021/12/11(土) 10:54:19.99 ID:sog9aeSZ0.net

Javaがだめなら何使えばいいんや
クソC#使うんか?

104 ::2021/12/11(土) 01:58:16.60 ID:HHvtiBZK0.net

log4j.jar入れ替えたら終わる

202 ::2021/12/11(土) 12:50:45.17 ID:cEDy7gRg0.net

>>199
https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

これはまじでオワタ

Please note that Log4J v1 is End Of Life (EOL) and will not receive patches for this issue. Log4J v1 is also vulnerable to other RCE vectors and we recommend you migrate to Log4J 2.15.0 where possible.