1: おいでよ!ガジェットの森 2021/12/10(金) 19:30:35.24 ID:xiaBfHy29
※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
https://twitter.com/nullpo_head/status/1469152015637151745
(略)
※省略していますので全文はソース元を参照して下さい。
https://twitter.com/5chan_nel (5ch newer account)
19: おいでよ!ガジェットの森 2021/12/10(金) 19:41:14.57 ID:24CVN+Hv0
>>1
数か月前からマイクラの2b2tサーバで悪用されてたやつかw
83: おいでよ!ガジェットの森 2021/12/10(金) 20:54:05.88 ID:HhWTvVAz0
>>1
正直クライアントが何か言うまで無視か
これでまた儲ける
5: おいでよ!ガジェットの森 2021/12/10(金) 19:33:34.75 ID:MwfLcoOL0
やべえな、これ
11: おいでよ!ガジェットの森 2021/12/10(金) 19:37:29.53 ID:AXUy6gY90
log4j はちょっとヤバいな・・・
zlib の脆弱性のパニックに匹敵する範囲
13: おいでよ!ガジェットの森 2021/12/10(金) 19:38:39.99 ID:02VVpUS80
独自のロガーを実装していた俺様埼京!(別の脆弱性の可能性は認める!)
14: おいでよ!ガジェットの森 2021/12/10(金) 19:38:55.43 ID:TReZ3Ler0
Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか
17: おいでよ!ガジェットの森 2021/12/10(金) 19:39:28.54 ID:RNk5Bsir0
これは祭りが始まるな
18: おいでよ!ガジェットの森 2021/12/10(金) 19:40:46.53 ID:M7eh7uKK0
VMのくせに任意コード実行とかされるの?
31: おいでよ!ガジェットの森 2021/12/10(金) 19:48:14.61 ID:9u4Gh7J10
>>18
JNDI という、クラスを動的に呼び出す機能がある。
20: おいでよ!ガジェットの森 2021/12/10(金) 19:41:29.49 ID:VX1IsPR20
Webアプリの実装調査しないとダメになりそうだな。
入力文字をログ出力なんてしてないと思うけど。
23: おいでよ!ガジェットの森 2021/12/10(金) 19:42:56.56 ID:bkTfFcZz0
世界中のITエンジニアが徹夜だなこりゃあ
43: おいでよ!ガジェットの森 2021/12/10(金) 19:53:29.89 ID:XHSPlzCK0
>>23
(・∀・;)アーアーキコエナイキコエナイ
25: おいでよ!ガジェットの森 2021/12/10(金) 19:45:12.29 ID:KWgGdpXY0
同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな
27: おいでよ!ガジェットの森 2021/12/10(金) 19:45:45.93 ID:5cK26Bdg0
あー月曜が憂鬱すぎる・・・・これ結構面倒そう
30: おいでよ!ガジェットの森 2021/12/10(金) 19:47:36.51 ID:MwfLcoOL0
>>27
こんなの知らんぷりしとけよ
29: おいでよ!ガジェットの森 2021/12/10(金) 19:46:42.72 ID:z2HejKx10
マイクラはオープンなマルチとかじゃなければ大丈夫なのかな
Steamはかなりまずそうだが
32: おいでよ!ガジェットの森 2021/12/10(金) 19:48:29.79 ID:0qyM7wX40
有無 ようわからん
これ使われているのはどのシステムなんですか?
37: おいでよ!ガジェットの森 2021/12/10(金) 19:50:32.50 ID:9u4Gh7J10
>>32
サーバサイドのJavaアプリはまず入ってると思っていい。
38: おいでよ!ガジェットの森 2021/12/10(金) 19:50:58.18 ID:7A4MdNQQ0
>>32
Javaのプログラムがログファイルを生成するためのライブラリだから
業務用のシステムではほとんど使ってるんじゃね?
33: おいでよ!ガジェットの森 2021/12/10(金) 19:48:40.55 ID:2kFjuvbV0
これ、とりあえず使ってるライブラリーやら何か全部調べろになるんだろうね。
39: おいでよ!ガジェットの森 2021/12/10(金) 19:51:06.00 ID:z2HejKx10
そもそも5chは大丈夫なん?
41: おいでよ!ガジェットの森 2021/12/10(金) 19:52:25.39 ID:4W1ogC3A0
バグがない言語なんてないよ
42: おいでよ!ガジェットの森 2021/12/10(金) 19:52:54.68 ID:MwfLcoOL0
ログ出力にコマンド埋め込んで実行できるってこと?
まあ、ログ出力コードがバグってなきや大丈夫だろ
71: おいでよ!ガジェットの森 2021/12/10(金) 20:19:13.33 ID:24IRiW6h0
困るのは企業だけ?
個人レベルで困ったり対策した方がいいことある?
72: おいでよ!ガジェットの森 2021/12/10(金) 20:26:51.82 ID:02VVpUS80
>>71
中身がJavaVMとlog4jで動くアプリを使ってないか
アプリの情報表示や公式サイトでチェック
78: おいでよ!ガジェットの森 2021/12/10(金) 20:47:33.18 ID:24IRiW6h0
>>72
ありがとう
ちょっとよく分からないから賢い人がどうにかしてくれるの待つわ
93: おいでよ!ガジェットの森 2021/12/10(金) 21:23:45.00 ID:02VVpUS80
>>78 どういたしまして
有名所のアプリなら公式サイトのお知らせチェックして、アップデートとかすればいいと思う
マイナーなアプリは必須でなければ
安全確認取れるまで
しばらく利用見合わせるのおすすめ
ちなみにアプリだけでなくてネトゲとか
加入してるネットサービスも同じね
77: おいでよ!ガジェットの森 2021/12/10(金) 20:42:15.09 ID:l5YyS2WB0
俺がネット始めた頃はjavascriptでサイト閲覧者のクリップボードを
取得出来るのがデフォだったぞ、今考えるとMicrosoft頭おかしいだろ
84: おいでよ!ガジェットの森 2021/12/10(金) 20:59:41.91 ID:0GRh/F+e0
VM言語で、しかも今のサーバーアプリって仮想コンテナ、OS on OS
みたいな仕組みらしいやん、それくぐり抜けるん?
アクロバティックやねえ
88: おいでよ!ガジェットの森 2021/12/10(金) 21:08:30.65 ID:uvcv5iKI0
どうせ麻雀とテトリス以外の用途ねえからchromeでも動くようにしろよ
89: おいでよ!ガジェットの森 2021/12/10(金) 21:11:17.94 ID:dJtOf/oX0
まじかよ、やめてくれよ週明け影響調査させられたらたまったもんじゃない
