プロになるJavaでチート能力を手にして完全勝利
2022年4月18日に開催されたJJUGナイトセミナーでの登壇資料です https://jjug.doorkeeper.jp/events/135559
Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。 この脆弱性を修正したSpring Cloud Funct
Java 17の新機能でドメインモデリングの表現力を高めてみる - BIGLOBE Style | BIGLOBEの「はたらく人」と「トガッた技術」
基盤本部(開発部門)の木下です。Java 17 の新機能を使って、ドメイン駆動設計(Domain Driven Design: DDD)のモデリングの表現力を高める例をご紹介します。 皆さんは「事前条件が OK ならデータベースを更新する」というロジックを、クリーンアーキテクチャのどのレイヤーに実装していますか? 事前条件はドメイン知識なのでドメインサービスに実装したいところですが、リポジトリーを操作するアプリケーションサービスの中に書かれることも多いのではないでしょうか。 クリーンアーキテクチャー。https://style.biglobe.co.jp/entry/2020/02/13/150709 より引用 この記事では、ドメインサービスとアプリケーションサービスをきれいに分離するために、Java 17 で正式導入された interface の sealed と permits を活用
Oracle Security Alert Advisory - CVE-2021-44228
Description This Security Alert addresses CVE-2021-44228, a remote code execution vulnerability in Apache Log4j. It is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password. It also addresses CVE-2021-45046, which arose as an incomplete fix by Apache to CVE-2021-44228. Due to the severity of this vulnerability and the public
Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO
AWSチームのすずきです。 2021年12月11日、 AWS の Managed Ruleとして提供されている AWSManagedRulesKnownBadInputsRuleSetに新しい保護ルール「Log4JRCE」が追加されました。 Apache Log4j2 Issue (CVE-2021-44228) Log4j の脆弱性(CVE-2021-44228)対策として、AWS WAFの有効性を確かめる機会がありましたので、紹介させていただきます。 AWS Managed Rule Known bad inputs 新しいルール 「Log4JRCE」 が追加されました。 試してみた WAF(ACLs)設定 AWSManagedRulesKnownBadInputsRuleSet のみ設定した WebACLを用意しました。 BadInputsRuleSetのバージョンはデフォルト、検証
Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package | LunaTrace
Originally Posted @ December 9th & Last Updated @ August 1st, 3:30pm PDT Fixing Log4Shell? Claim a free vulnerability scan on our dedicated security platform and generate a detailed report in minutes. What is it?On Thursday, December 9th a 0-day exploit in the popular Java logging library log4j (version 2), called Log4Shell, was discovered that results in Remote Code Execution (RCE) simply by log
Java 17新機能まとめ - Qiita
Java 17が2021/9/14にリリースされました。 機能的に多くのプログラマに関係ありそうな変更はApple Siliconに対応したくらいですが、LTSであるということが大きいと思います。 詳細はこちら Oracle Releases Java 17 Java SE 17 Platform JSR 392 JDK 17 GA Release APIドキュメントはこちら Overview (Java SE 17) 変更点まとめはこちら https://docs.oracle.com/en/java/javase/17/migrate/significant-changes-jdk-release.html#GUID-339B2415-8BA8-438C-93AF-F9C746F7CE45 今回はLTSなので、前回LTSであるJava 11からの差分もまとめられています。 JEPの差分
Java 9~17の新機能 / Java 9 ~ 17 Overview - Speaker Deck
2021/06/18 社内勉強会
「Spring Framework 6」のベースラインはJava 17およびJakarta EE 9に
米Springは、Java 17およびJakarta EE 9のハイエンドベースラインに向けて、「Spring Framework 6」および「Spring Boot 3」の2022年第4四半期の一般提供を計画していることを、9月1日(現地時間)に開催された「SpringOne」にて発表した。 「Spring Framework 6」および「Spring Boot 3」ベースのアプリケーションには、実行時にJDK 17以降とTomcat 10/Jetty 11が必要であり、アプリケーションのソースコードにいくつかの変更が必要となる場合がある。 同社は、並行して「Spring Framework 5.3.x」と「Spring Boot 2.x」の開発も活発に行っており、「Spring Boot 2.6」は11月、「Spring Boot 2.7」は2022年5月にリリースされる。なお、「Sp
[Java] Style Guidelines for Local Variable Type Inference in Java
Oracle Blogsの主としてテクノロジー製品のエントリを日本語でご紹介します(オリジナルのエントリを投稿することもあります)。厳密性をご所望の方は原文をどうぞ。よい内容でしたら原文に対し、"Good Entry, thanks!"でもいいので、是非コメントお願いします(Typoや誤訳はコメント欄からどうぞ)。なお、このエントリは個人の見解であり、所属する会社の公式見解ではありません。また、エントリ内でご紹介している製品・サービスは国内導入時期が未定の場合もありますのでご了承下さい。 Good entries on Oracle Blogs are put into Japanese. Mainly this blog covers technology products. Opinions expressed in this blog is my personal one and d
オラクル、Oracle JDKを再び無料提供へ、本番環境でも利用可。昨日リリースのJava 17から
オラクルは、同社が提供している企業向けのJavaディストリビューションであるOracle JDKのライセンスを変更し、無料で本番環境などでの利用を可能にしました。 同社が9月14日付で公開したブログ「Introducing the Free Java License 」で、次のように説明しています(関連するプレスリリース「Oracle Releases Java 17」)。 Oracle JDKを無料で提供し、四半期ごとのセキュリティアップデートも提供する。 新ライセンス「Oracle No-Fee Terms and Conditions (NFTC)」は、商用利用や本番環境での利用を含むすべてのユーザーに対して無料での利用を許可する。 Oracle JDK 17から、この無料のリリースとアップデートの提供を開始する。これは次の長期サポート(LTS:Long Term Support)が
The arrival of Java 17!
原文はこちら。 The original article was written by Sharat Chander (Director, Java SE Product Management, Oracle). https://blogs.oracle.com/java/post/announcing-java17 OracleはJDK 17の一般提供を発表いたします。このリリースは8回目のFeature Release (機能リリース)で、6ヶ月ごとのリリースサイクルで予定通りにリリースされました。このレベルの予測可能性により、期待される変更の安定した流れのおかげで、開発者はイノベーションの採用を容易にコントロールできます。 Javaは、パフォーマンス、安定性、およびセキュリティを向上させる能力を備えており、引き続き世界で最も人気のあるプログラミング言語です。IDCのレポートによると、
List.of(123, "hoge")の型がこわい。泣きそう。 - きしだのHatena
List.of(123, "hoge")がどんな型になるかを見てみたら、きっとList<Object>になっていて「Objectはどんな値にも対応するんですよー」みたいな説明ができると思っていたら、実際は泣くほど怖い型が出てきた。 List.of(123, "hoge")がどんな型になってるか見ると「Objectは何でも扱えるんですよー」みたいな説明ができるかなと思ったら、泣くほど怖い型が出てきた・・・ pic.twitter.com/Y31F8cdzGH— きしだൠ(K1S) (@kis) 2021年6月23日 `List<Serializable&Comparable<? extends Serializable&Comparable<?>&java.lang.constant.Constable&java.lang.constant.ConstantDesc>&java.lang.c
タイムゾーン呪いの書 (Java 編)
「タイムゾーン呪いの書」は、もともと 2018年に Qiita に投稿した記事でしたが、大幅な改訂を 2021年におこない、同時にこちらの Zenn に引っ越してきました。この改訂で記事全体が長大になったので、「知識編」・「実装編」・「Java 編」と記事を分けることにしました。 この「Java 編」は、「知識編」と「実装編」に続く最終章です。本記事全体を通して、「知識編」「実装編」を読んでいることを前提にしているので、ご注意ください。 はじめに 「知識編」と「実装編」では、言語やソフトウェア特有の話にはあまり踏み込まずに、時刻とタイムゾーンについてなるべく一般論を書いてきました。そんな中でも Java の JSR 310: Date and Time API は何度も参照しています。 JSR 310 は時刻やタイムゾーンという概念をけっこう上手に一般化していて、一般論の検討にもいいモデル
すべてのOpenJDK 12ビルドにShenandoahが含まれているわけではない:その理由は... - 赤帽エンジニアブログ
Red Hat で Solution Architect として OpenJDK を担当している伊藤ちひろ(@chiroito)です。 この記事は、Red Hat Developerのブログ記事、Not all OpenJDK 12 builds include Shenandoah: Here's why | Red Hat Developer の翻訳記事です。 OpenJDK 12がリリースされました。それには新しい機能が追加されています。これらは以下を含みます。 189: Shenandoah: 低休止時間のガーベジコレクタ (実験) 230: マイクロベンチマークスイート 325: Switch式(プレビュー) 334: JVM Constants API 340: 2つではなく1つのAAR64移植 341: デフォルトCDSアーカイブ 344: G1の中止可能な混合コレクション
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Java Benchmarks: OpenJDK 8 Through OpenJDK 19 EA, OpenJ9, GraalVM CE - Phoronix
JDK 18とJDK 19:これまでに分かっていること
GitHub - proferosec/log4jScanner: log4jScanner provides the ability to scan internal subnets for vulnerable log4j web services
cve-details
GitHub - tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce: Apache Log4j 远程代码执行
