「Log4j」のトラブルってどうヤバいの？ 非エンジニアにも分かるように副編集長に解説させた

「Log4j」のトラブルってどうヤバいの？ 非エンジニアにも分かるように副編集長に解説させた：ヤマーとマツの、ねえこれ知ってる？（1/3 ページ） 経歴だけは長いベテラン記者・編集者の松尾（マツ）と、テック系編集部を渡り歩いてきた山川（ヤマー）が、ネット／テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。交代で執筆します。 ヤマー 「Log4j」関連、かなーり話題になってますね……。 マツ うちが取り上げたタイミング、結構早かったんだよね。 ヤマー 10日の夕方に初報を出してますね。そのあと関連記事もいくつか出てます。 マツ そこで今回、この情報をいち早く見つけたNEWS編集部の敏腕副編集長、キーチさんを呼び出して、この問題について根掘り葉掘り聞いてみようと思ってて。 キーチ いきなりハードルが高い。 ヤマー お、うわさをすればキーチさん登場。 マツ

[SOLTALLOW]

“通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう”　今回の脆弱性のヤバいの、ここなんだよな。悪意のあるコードを含んだURLを投げるだけで攻撃が成立しちゃう

[yuzuk45]

これはまずい…巡回するコード書いてURLを叩きまくれば穴があれば好き放題できるってことか

[shioki]

"「うちのシステムはチャットとかないし」は通用しなくて、通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう。つまり待ったなしの状況ということです"

[kurage_lizard]

とても分かりやすくてよかった。会社で確認／対策してくださいと言われて、IPAのURL送られてきたとき、助けて登大遊！って思ったのはひみつ

[Lumin]

全く非エンジニア向けじゃなかった。このタイトルどうかと思う

[bfms350]

わかりやすかった

[T-norf]

これHTTP refererから送り込める状況あったら最悪やね。攻撃者のURL踏むと、攻撃文字列を含むURLへリダイレクトして、そのページにアクセスしたブラウザ踏み台に、社内サーバありそうなプライベートIP多数へ攻撃できちゃう

[aike]

会員制サービスでも認証失敗のログはとるから非会員でも攻撃可能なのが怖い。

[Shinwiki]

攻撃者が用意したディレクトリサービスにリクエスト投げれちゃう低レイヤーがそもそもどうなの？って印象だったけども…大騒ぎでそれどころじゃなかったので成り行き見守りちゅう

[shikiarai]

実際に受けた攻撃のログ見てみれば分かるけどマルウェアサイトにアクセスさせようとしてたので後はお察し

[tasknow]

これはヤバさ120%やな…

[sawat]

多様性が低いとこういった一つの脆弱性に対するリスクが大きくなる。生き物とおんなじだね。人類全部コロナに対して脆弱。

[cinefuk]

「ログに記録させるだけで任意のリモートコードを実行できてしまう」「XSSどころの話ではない」「Log4jはなぜか『ログに記録した文字列に特定の命令が書いてあったら外部からプログラムを読み込みます』という実装を」

[deep_one]

「そこで今回、この情報をいち早く見つけたNEWS編集部の敏腕副編集長、キーチさんを呼び出して、この問題について根掘り葉掘り聞いてみようと思ってて。」「いきなりハードルが高い」