Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

2021/12/12 775 users piyolog

2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」に深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 １．何が起きたの Javaベースのログ出力ライブラリ... 続きを読む

「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か

2021/12/10 472 users リモートコード RCE Minecraft iCloud 特定

「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる（Remote Code Execution, RCE）、ゼロ... 続きを読む

log4jの脆弱性について

2021/12/10 468 users 脆弱性 変数 ロク 中身 Java用

log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これは... 続きを読む

Log4jで話題になったWAFの回避/難読化とは何か

2021/12/16 282 users WAF Twitter CVE-2021-44228 超弩級

はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ！... 続きを読む

Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO

2021/12/10 276 users DevelopersIO log すずき AWS 緩和

AWS WAFのマネージドルールとして新たに追加された「Log4JRCE」、Log4j の脆弱性(CVE-2021-44228)の緩和に有効であるか試してみました。 AWSチームのすずきです。 2021年12月11日、 AWS の Managed Ruleとして提供されている AWSManagedRulesKnownBadInputsRuleSetに新しい保護ルール「Log4JRCE」が追加されました。 Log... 続きを読む

「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中

2022/01/25 188 users やりとり オープンソース開発者 オープ ゼロデイ脆弱 大企業

2021年12月に、さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell」があることが発覚し、世界中のIT産業が対応に追われました。そんな問題に対し、フォーチュン500に選出されるような大企業から対応方法を教えるよう要請を受けたオープ... 続きを読む

Log4j 2にも採用されたLMAX Disruptorはなぜ狂ったように速いのか？ | JUMPERZ.NET Blog

2015/01/04 166 users JUMPERZ.NET Blog

Posted: December 31, 2014 | Author: kanatoko | Filed under: tech | Tags: concurrency, disruptor, java, lmax, log, thread |Leave a comment LMAXという会社はおそらくFX業者で、筆者はLMAXの開発者の講演を、InfoQの動画で何度か見たことがあった。 彼らは非... 続きを読む

【図解】Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について

2021/12/12 158 users 図解 ロギング LDAP インタフェース ＤＮＳ

JNDI とはJava Naming and Directory Interface という、Java アプリケーションが DNS や LDAP 等のサービスを利用するための汎用的なインタフェース (ライブラリ) です。 Log4j と JNDI lookupApache Software Foundation が開発した、Java ベースのロギングに関するライブラリです。JNDI lookup という機能があり、書... 続きを読む

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

2021/12/23 151 users 行政機関 Apache Log4j ６カ月間 提携関係 中国

中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド（阿里雲）... 続きを読む

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた

2021/12/16 146 users ヤバ 非エンジニア 副編集長 トラブル ヤマー

「Log4j」のトラブルってどうヤバいの？　非エンジニアにも分かるように副編集長に解説させた：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ） 経歴だけは長いベテラン記者・編集者の松尾（マツ）と、テック系編集部を渡り歩いてきた山川（ヤマー）が、ネット／テクノロジー用語で知らないことをお互い聞きあったり... 続きを読む

Log4J2のバージョンアップのやりかた - 日々常々

2021/12/10 129 users バージョンアップ 日々

「log4j2に脆弱性があるらしい、バージョンアップしたら治るらしい。」 本日話題のこのテーマで軽く書いておきます。未完です。 とにかくバージョンを上げよう ……リリースできるかは別の話として。バージョンを上げられないことには話になりません。ということでとにかくあげましょう。 log4j2のようなログライブラリは... 続きを読む

Javaのロギングライブラリの歴史と現状をふんわり把握する（初学者向け） - Qiita

2016/06/10 92 users Qiita ロギング ロギングライブラリ Java API

かつて、 Log4j というロギングライブラリがありました。 最強でした。1999年のお話です。 ロギングの大切さと Log4j の素晴らしさが見直され、Java標準に java.util.logging というAPIが追加されました。2002年のお話です。 java.util.logging は Log4j を参考に作られましたが、ところどころ使いづらかったため、「標準」という武器をもってしても... 続きを読む

java.util.loggingの闇 - nekop's blog

2015/01/15 90 users nekop API サードパーティライブラリ こいつ ログ出力

2015-01-15 java.util.loggingの闇 Javaの1.4からjava.util.logging(以下JULと表記)というロギングパッケージが標準で使えるようになって、ログ出力のためにlog4jなどのサードパーティライブラリをいちいち導入したりする必要がなくなりみんな幸せになりました。 と言いたいところですこいつが超不便なAPIをしていてとてもとてもとっっっても使い辛い。ふざけ... 続きを読む

Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO

2021/12/14 61 users DevelopersIO Log4JRCE AWS WAF

IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。 $ host 75.2.71.201 201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com. $ host 52.194.15.214 214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-... 続きを読む

Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO

2021/12/11 46 users DevelopersIO Rule update AWS 検証

先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました ... 続きを読む

緊急レベルのJava「Log4j」脆弱性、多くのシステムに影響する恐れ（山口健太） - 個人 - Yahoo!ニュース

2021/12/10 30 users Java 山口健太 リモートコード実行 Yahoo 脆弱性

米国時間の12月9日ごろから、Java用のログ出力ライブラリ「Apache Log4j」におけるリモートコード実行の脆弱性が話題になっています。広く普及しているライブラリに致命的な問題が見つかったことで、影響範囲の大きさが心配されます。 Log4jは、Javaプログラムからログを出力するときによく使われるライブラリで、運用中... 続きを読む

-verbose:class オプションを使ってLog4j利用の有無、Log4jを利用しているクラスを調査する | yusuke.blog

2021/12/11 28 users 昇格 Javaプロセス 権限 しま 脆弱性

Log4jの脆弱性 Log4jの脆弱性が騒ぎになっています。権限の昇格はないものの、Javaプロセスを動かしているユーザーの権限で出来ることは何でも出来てしまい、しかも攻撃も容易なため今すぐに対処すべきです。 条件により脆弱性が問題とならなかったり、システムプロパティの設定により問題を回避することが出来たりしま... 続きを読む

米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催

2022/01/14 24 users OpenSSF 契機 米バイデン政権 民間部門 米連邦政府

米バイデン政権、「Log4j」問題などを受けGAFAやOpenSSFなどを招いたOSSセキュリティ会議開催 米連邦政府は、昨年末に問題になった「Log4j」を契機に民間IT大手やオープンソース団体を招いたサイバーセキュリティ会議を開催した。Googleは会議後、オープンソースの資金調達と管理には政府と民間部門の協力が必要だと語っ... 続きを読む

「Log4j」2.17.0にもリモートコード実行の脆弱性　修正バージョン公開

2021/12/29 23 users リモートコード実行 リモートコード ASF 脆弱性 実行

ゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation（ASF）は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギン... 続きを読む

「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた

2021/12/13 23 users 脆弱性 攻撃手段 日本ハッカー協会 情報共有 リモートコード

ログ出力ライブラリ「Apache Log4j」に、任意のリモートコードを実行できる脆弱性があることが明らかになった問題で、その攻撃手段をネット上で共有する行為は、不正指令電磁的記録に関する罪に問われるのではないかと、エンジニアを中心に議論が起きている。 文字列を記録させるだけで任意のリモートコードを実行できる... 続きを読む

広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

2021/12/12 23 users Javaライブラリ 脆弱性 リモートコード 対策 確認

オープンソースのロギングライブラリとしてさまざまなJavaアプリケーションに使われている「Apache Log4j」に、任意のリモートコードが実行できてしまう脆弱性が発見されました。 これが悪用されると、第三者が勝手にサーバを操作して悪意のあるソフトウェアを組み込んだり、悪意のある攻撃を行う際の踏み台にされるなど... 続きを読む

Apache Log4j2 Security Bulletin (CVE-2021-44228)

2021/12/11 23 users CVE-2021-44228 Apache Log4j

Initial Publication Date: 2021/12/10 7:20 PM PDT AWS is aware of the recently disclosed security issue relating to the open-source Apache “Log4j2" utility (CVE-2021-44228). We are actively monitoring this issue, and are working on addressing it for any AWS services which either use Log4j2 or prov... 続きを読む

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」　Javaの歴史とバザールの矛盾

2022/01/31 19 users バザール 歯車 かけら Java 矛盾

元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」　Javaの歴史とバザールの矛盾（1/6 ページ） Log4j 2で問題となった脆弱性は、プログラミングやコンピュータの知識が少しあれば「なぜこんな危険な実装がされていたのか」と疑問に思う内容だ。歴史の歯車が別の方向に噛み合っていれば、こうはならなかっ... 続きを読む

「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開

2021/12/15 19 users 警察庁 脆弱性 グラフ センサー 攻撃数

世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設で観測した攻撃数の平均グラフを公開した。 世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設のセンサーで観測した攻撃数のグラフを公開した。 警察施設のインターネット接続... 続きを読む

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告 | TechCrunch Japan

2022/01/06 17 users 米FTC 警告 措置 TechCrunch JAPAN ＦＴＣ

Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会（FTC）はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。 2021年12月に初めて発見されたこの「深刻な」脆弱性は、... 続きを読む