log4jの脆弱性について

log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの

[maninthemiddle]

外部から指定されうる任意文字列が展開評価されてる時点でだいぶ嫌な感じ。よくこんな大穴が明るみに出なかったな。 「銀行の貸金庫の換気扇が隣の中華料理屋の換気扇と繋がってた」くらいの何でだよ感

[Wafer]

変数を展開できる（わかる）ネットワーク越しに変数に相当する...（ん？）このURLにドットをつけると任意の...（なんでやねん）

[fujihiro0]

こっち読んだほうがいい。 https://www.lunasec.io/docs/blog/log4j-zero-day/

[havanap]

なんでLDAPアクセスでリモートコードが実行できるのかはこのへんに https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE.pdf

[rryu]

JNDIのLDAPサービスプロバイダにはエントリからJavaオブジェクトを取り出せる仕様があって、ログメッセージのメタ表記としてJNDIも参照できるようにしていたら罠に嵌まったという感じっぽい。

[programmablekinoko]

SQL文はサニタイズするのが常識となったが、今後JDNI文字列が含まれていないか確認する必要があるな

[otoan52]

opensslとかもそうだけど、インフラになってしまった枯れたはずのコードの脆弱性に、十分目が行き届かない問題はあるみたいなのよね。特に面白みもないので注視してる人がいない、なのに問題があると影響がでかい

[augsUK]

この「仕様」はこれまで知ってた人もいたと思うが、よく大きく目立つ悪用をされてこなかったな

[maguro1111]

これを発見・報告したのがアリババなのが現代という感じ

[yuuAn]

HTML を出力するときと同じように、ログに出力するときもエスケープが必要ってことなのかな？

[NOV1975]

まあ、これならAPサーバのアウトバウンド接続制限あればとりあえずは平気か？

[tamanecoplus]

私が使ってた頃（2000年代中盤）には無かった機能。JNDI以前に注入された値を変数として評価する時点でありえないんだが…

[onesplat]

こりゃ愛想尽かされても仕方ないな。不必要に難しいことするからこうなる。シンプルに保つのが大事なんじゃぞ

[urtz]

メジャー言語の古いメジャーライブラリというリスク

[T-norf]

ログで名前解決をするのは分からないではないけど、JNDI側の問題と悪魔合体して、史上最悪の影響範囲になりそう。ldap止めるとしても任意ポート使えるので大部分deny ALLしないと止まらないよ。パッチあて急ごう

[dbfireball]

学びとしてメモ

[homarara]

IPAのサイトに何も情報無いのは何故だ。

[kincholjet]

Javaよく知らんのだけど変数の中身をログに出力するのってこういうライブラリ使わないといけないくらい大変なの？

[taruhachi]

例外なく全ての入力はサニタイズしないとダメだよ。何も信用しちゃダメ。他のシステムから渡された値に関して、そちらでサニタイズされてる筈であったとしても、そっちでは問題ないだけかもしれない。

[Nyoho]

“このURLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう”

[mohno]

なんでSQLインジェクションみたいな脆弱性がいまどき？と思ったけど、「Jndi Lookup」にそういうリスクがあると知られないまま、log4jがログ出力の書式に使っていたということか(?)　（SQLインジェクションみたいだな）

[houyhnhm]

なるほど。log4j自分では使った事はないがやたら見かけるものだけに注意だなあ。

[strawberryhunter]

第2引数以降なら問題なし。対処法としては2.15.0に更新、起動パラメータに-D log4j2.formatMsgNoLookups=true を追加、LDAPへの接続をファイアウォールでブロック、という方法があるみたい。もう今ならライブラリ更新が一番かな。

[versatile]

変数展開時のサニタイズかぁ

[shunkeen]

“URLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう”／制御不能な柔軟性が牙を剥いてる🐲怖い

[kanopen]

わかりやすい

[junki_au]

わかりやすい。

[ot2sy39]

lispっぽい。

[ryuichi1208]

“このURLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまうのだ” わかりやすい

[uehaj]

ファイアウォール内ならldapは外部に行かないだろう。防火壁大事。ゼロトラストとか言ってたら昇天する。

[spark7]

ページが90年代みあって今回の件の記事だと一瞬わからなかった。