「Apache Log4j」にまたRCE脆弱性 ~修正版のv2.17.1などが公開/深刻度は「Moderate」
「Log4j」2.17.0にもリモートコード実行の脆弱性 修正バージョン公開
任意のリモートコードが実行可能になってしまうゼロデイ脆弱性が問題になったJava向けロギングライブラリ「Apache Log4j」に、また脆弱性が見つかった。提供元の米The Apache Software Foundation(ASF)は、脆弱性を修正したバージョンへのアップデートを呼び掛けている。 新たな脆弱性(CVE-2021-44832)は、攻撃者がログ設定ファイルを変更できる権限を持った場合にリモートコードの実行が可能になるというもの。影響範囲はバージョン2.0-alpha7から2.17.0までの2系(ただし特定のセキュリティ修正バージョンを除く)。 CVSS(共通脆弱性評価システム)スコアは6.6で深刻度は「Moderate」。当初のゼロデイ脆弱性(CVSS10.0で「致命的」)より影響レベルは低いが、直前に見つかっていたDoS(サービス拒否)攻撃の脆弱性よりは高く見積もられて
ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃
Jonathan Greig (Special to ZDNET.com) 翻訳校正: 編集部 2021-12-21 13:47 ベルギー国防省は、同省のネットワークが「Apache Log4j」の脆弱性を利用したサイバー攻撃を受けたことを認めた。 声明によれば、国防省は現地時間12月16日にインターネットに接続されたコンピュータネットワークが攻撃を受けていることに気づいたという。同省は、攻撃がランサムウェアによるものかどうかは明らかにしなかったものの、すぐに「感染した要素を封じ込める」ための「隔離措置」を講じたと説明している。 同省は、「ネットワークを運用可能な状態にしておくことを優先した。監視は今後も継続される。先週末を通じて、問題を封じ込め、運用を継続し、パートナーに警告を発するためにチームが動員された」と述べている。 「今回の攻撃は、先ごろ公開され、現在世界中のIT専門家が取り組ん
Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO
IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。 $ host 75.2.71.201 201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com. $ host 52.194.15.214 214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-1.compute.amazonaws.com. $ host dev.classmethod.jp dev.classmethod.jp has address 75.2.71.201 dev.classmethod.jp has address 99.83.1
Piro🎉"シス管系女子"シリーズ累計5万部突破!!🎉 on Twitter: "Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみて… https://t.co/eImvzjJMRX"
Log4j(2)の脆弱性の原因になった変更がどういう経緯で行われ今に至ったのか、こちらのツイートのリプライツリーで参照されている記事2つと、既に頂いていた指摘で参照されていたイシュートラッカーの情報を見ながら、把握しようとしてみて… https://t.co/eImvzjJMRX
米人事管理大手のKronos、ランサムウェア攻撃でサービス数週間停止に
米人事管理ソリューション大手のKronosの親会社UKGは12月12日(現地時間)、サイバー攻撃を受け、ほとんどのサービスが停止したと発表した。約10時間後、停止の原因はランサムウェアであり、「システム復元には最大数週間かかる可能性がある」と情報を更新した。 「影響を受けるお客様には、給与処理や業務管理など、重要なシステムを他社の代替サービスを評価することをお勧めする」としている。 ランサムウェア攻撃の手口については言及していないが、この報告のページには、「CVE-2021-44228として報告されている「Log4j」の脆弱性を認識している。弊社の環境には、悪用の試みを検出して防止するための予防的管理がある。Log4jの影響を受けるバージョンを特定してアップグレードするために、緊急パッチプロセスを呼び出した」というメッセージが表示されている。 Kronosは人事、勤怠、給与、スケジューリン
「オープンソース」は壊れている
christine.websiteのブログより。 または: お金を払わない限り、有用なソフトウェアを書かないのか? 最近、重要なJavaエコシステム・パッケージに大きな脆弱性が見つかりました。この脆弱性が完全に兵器化されると、攻撃者はLDAPサーバから取得した任意のコードを実行するよう、Javaサーバを強制することができます。 <マラ> もしこれがニュースで、あなたがJavaショップで働いているなら、残念ですが、あなたには2、3日が待っています。 私は、これが「オープンソース」ソフトウェアの主要なエコシステム問題の全ての完璧な縮図だと考えています。log4j2が、この問題の最悪のシナリオの1つの完璧な例であると思うので、このすべてについていくつか考えを持っています。この問題に関与したすべての人が、現実世界の問題に対する完全に妥当な解決策のためにこれらすべてを行ったことは完全に合理的であり、
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
文字列を記録させるだけで任意のリモートコードを実行できるゼロデイ脆弱性があることが明らかになった、Javaのログ出力ライブラリ「Apache Log4j」。12月10日に話題になってから、Javaを使ったシステムに関係するITエンジニアは対応に追われている。一方で、その脆弱性を突く具体的な手段をネット上で共有する行為は「不正指令電磁的記録に関する罪に問われるのではないか」と議論が起きている。 「罪に問われる可能性はある」 問題解決のためとはいえ、攻撃手段となりうる情報の共有は罪に問われるのか。日本ハッカー協会の杉浦隆幸理事に聞いたところ「log4jの脆弱性をつく攻撃を実際に実行して、成功してしまうと不正アクセス禁止法に該当する」と前置きした上で「そのコードを共有する行為は不正指令電磁的記録に関する罪に問われる可能性は十分にある」と指摘する。 不正指令電磁的記録に関する罪とは、コンピュータウ
世界中を揺るがすJavaライブラリのゼロデイ脆弱性「Log4Shell」を突く攻撃は発覚前からすでに始まっていた
Javaのログ出力ライブラリであるApache Log4jでゼロデイ脆弱(ぜいじゃく)性「Log4Shell(CVE-2021-44228)」について、概念実証コードが日本時間の2021年12月10日に公開されました。このLive4Shellを突いてリモートコード実行を可能にするエクスプロイトの確認報告がさまざまなところで挙がっていますが、このLog4Shellエクスプロイトが概念実証コード公開前の12月1日から2日にかけて行われていたことが判明しました。 Log4Shell attacks began two weeks ago, Cisco and Cloudflare say - The Record by Recorded Future https://therecord.media/log4shell-attacks-began-two-weeks-ago-cisco-and-c
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
Exploiting JNDI Injections in Java | Veracode
Java Naming and Directory Interface (JNDI) is a Java API that allows clients to discover and look up data and objects via a name. These objects can be stored in different naming or directory services, such as Remote Method Invocation (RMI), Common Object Request Broker Architecture (CORBA), Lightweight Directory Access Protocol (LDAP), or Domain Name Service (DNS). In other words, JNDI is a simple
Log4Shell: RCE 0-day exploit found in log4j, a popular Java logging package | LunaTrace
Originally Posted @ December 9th & Last Updated @ August 1st, 3:30pm PDT Fixing Log4Shell? Claim a free vulnerability scan on our dedicated security platform and generate a detailed report in minutes. What is it?On Thursday, December 9th a 0-day exploit in the popular Java logging library log4j (version 2), called Log4Shell, was discovered that results in Remote Code Execution (RCE) simply by log
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Upgraded to log4j 2.16? Surprise, there's a 2.17 fixing DoS
CVE-2021-45105: New DoS Vulnerability Found in Apache Log4j
GitHub - YfryTchsGD/Log4jAttackSurface