[2022-03-31 10:00 PDT更新] 脅威に関する情報: Apache Log4jに新たな脆弱性(CVE-2021-44228) 実際の悪用も確認
表2 Log4jのエクスプロイト試行のコールバックURLで見られた上位ドメインとIPアドレス 脆弱なサーバーの発見 私たちが観測したインバウンドのエクスプロイト試行の多くは、エクスプロイト成功を送信者に通知するアウトバウンドリクエストを送信するだけのものでした。これらの試みのすべてがスキャンを目的としていたのか、悪意のあるアクターの偵察活動の一環であったのかは確認できていません。そのなかにはコールバックURLとの最初のやりとりが脆弱なサーバーであることを示すというだけのエクスプロイト試行もあり、その多くは、以下のコールバックURLに見られるような「カナリアトークン」を使用していました。 x[hostname].l4j.2sk9753uabgse6xz75tooe5ix.canarytokens[.]com ただし、アクターがコールバックURLからJavaクラスをロードして実行することにより
![[2022-03-31 10:00 PDT更新] 脅威に関する情報: Apache Log4jに新たな脆弱性(CVE-2021-44228) 実際の悪用も確認](https://cdn-ak-scissors.b.st-hatena.com/image/square/1a2b7b2619f16b9f2c94d1a4a72203b7fd1baa37/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2022%2F12%2FUnit42-blog-2by1-characters-r4d1-2020_Vulnerability-yellow.png)
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
コーディングをAIが支援してくれる「Visual Studio IntelliCode」、Javaに対応。GitHubにあるコードを機械学習 - Publickey
無償のエディタであるVisual Studio Codeの拡張機能として、AIがコーディングをAIが支援してくれる「Visual Studio IntelliCode」(以下IntelliCode)が、Javaに対応したと発表されました。 IntelliCodeはコードの入力や補完において、もっとも適切と思われるコードをコンテキストに即してレコメンデーションをしてくれるというもの。さらにコードレビュー時のアドバイス、問題がありそうな部分の指摘や、コードスタイルと書式の規則の推測もしてくれます。 これまでC#とPythonに対応していましたが、今回新しくJavaにも対応しました。 AI機能はGitHubで100以上スターが付いているオープンソースプロジェクトのコードを用い、コードのパターンやプラクティスなどに関する機械学習が行われたと説明されています。 これによりJava SEやSpring
マイナンバーのポータルサイトでJavaが必須となった理由 | スラド IT
ストーリー by hylom 2017年01月26日 18時21分 WebブラウザにICカードアクセス機能を実装して貰おう 部門より 先日マイナンバーサービスのポータルサイト「マイナポータル」がオープンしたが、このサイトはJavaが必須となっている点が議論となった。これについて内閣官房・番号制度推進室番号制度推進管理補佐官の楠正憲氏がJavaを必須とした背景を説明している(日経ITpro)。 Javaを採用した理由は、WindowsおよびMacの両方をサポートするためとのこと。マイナンバーカード内のICチップに保存されている情報にWebブラウザアクセスするためには、現時点では何らかのアドオンが必須となっており、マイナポータルではそのためにJavaを選択したとのこと。それ以外にもWebブラウザからICチップにアクセスする技術はあるものの、WindowsとMacの両方に対応させるにはJavaを
Nianticの求人から推測する『Pokémon GO(ポケモンGO)』のサーバ構成 - Qiita
1ワールドで済ますというチャレンジ Nianticの求人を見ていて、凄く驚いたのは、「Software Engineer - Server Infrastructure」での次の項目。 all on a single, coherent world-wide instance shared by millions of users. 対訳 全ての(アクション)は、数百万のユーザーに共有された単一の一貫した(サーバ群で行われる) つまり、ポケモンGOは1ワールドで構成されている。MMOのサーバを作ったことがある人なら5それがどんなに大変かピンとくるだろう。特に、ポケモンGOの様に一日に数百万人とかが遊ぶゲームで、1ワールドでゲーム世界を構築するのは、結構大変だ。6 MMOで1ワールドがなぜ大変か(データストレージとの戦い) MMOの様なオンラインゲームで、1ワールドがなぜ大変かを図示する。
これがアップルのハック感染元。水飲み場攻撃でフェイスブック、ツイッターなど40社に被害?(動画)追記:マイクロソフトも
これがアップルのハック感染元。水飲み場攻撃でフェイスブック、ツイッターなど40社に被害?(動画)追記:マイクロソフトも2013.02.22 13:00 satomi 「開発者の1本釣りではなく、井戸に毒を盛ったんですな」―セキュリティの専門家アシュカン・ソルタニ(Ashkan Soltani)氏(All Things D) アップル社員のコンピュータがハックされましたが、感染元はフェイスブック、ツイッター社員と同じこのiPhoneデベロッパーフォーラム「iPhonedevSdk.com」(行って感染しないように)とのことです。 ブルームバーグとAll Things Dが情報筋の話として伝えました。Javaの脆弱性を突くコードがこのサイトのHTMLに仕込まれていたようです。 中の人のイアン・セファーマン(Ian Sefferman)氏が直接関与してたかどうかはまだ分かっていません。一応、Ma
登録&インストール不要、しかも無料で画面共有ができる『Screenleap』 | ライフハッカー・ジャパン
疲れやすい、呼吸の浅さを改善。ストレッチポールは毎日使いたいほど気持ちがいい!【今日のライフハックツール】
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IE6〜9にゼロデイ攻撃 | スラド セキュリティ