気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント47件
- 注目コメント
- 新着コメント
rna
1.xの件「第三者が設定ファイルを変更できる前提を考慮すると…直接不正なclassファイルを設置するだけでよい」リプによるとlog4j.propertiesをユーザー権限で変更可能なユースケースがあり、やはり脆弱性ではあるとのこと。
kuzumimizuku
2系はとにかく更新しよう……という感じだけど、1系でLookupや同等の(脆弱性を突ける)構成変更をして使ってるところ、多いならマズいなあ。(今1系を使ってるところは「更新できない」か「2系だと困る」かだろうし)
yamadamn
id:masudatarou 今回の内容はOGNLには直接は関係ないJNDIルックアップですし、OGNLが脆弱性で問題になったのはStruts 2が主なので、"Java界隈"というのも主語が大きいと思います。同様の問題に見えるのは確かでしょうけど。
taruhachi
〇〇といったコードを記載するだけで攻撃が成立してしまう可能性があります。ってどっかのブログに書いたら巡り回ってどこかのシステムで本当に発火して犯罪者になってしまうレベルのヤバさだと思ってる。
shioki
“影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software Foundationも脆弱性の深刻度を最高(Critical)と評価”
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記... 2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
2021/12/13 リンク