Java SEに脆弱性 数が多く影響範囲広く 早急に対策を
Javaの基本的なAPIをまとめた「Oracle Java SE」に複数の脆弱性が見つかったとして、情報処理推進機構(IPA)とJPCERT/CCは1月18日、早急に修正パッチを適用するよう注意を呼び掛けた。 脆弱性が見つかったのは「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。 脆弱性の数が多く、攻撃された場合の影響が大きい。JPCERT/CCはJava SEを活用する製品を使っている場合もあるとして。利用中のPCやサーバに対象となる製品が含まれていないかも確認するよう促している。 関連記事 つながるクルマ、自動運転車に潜む脆弱性 不正な遠隔操作でロック解除や始動も 米ラ
Javaに認証なしで不正操作できる脆弱性 影響範囲広く「早急に修正プログラム適用を」
情報処理推進機構(IPA)は4月20日、プログラミング言語「Java」の基本的な実行環境「Java SE」に重大な脆弱(ぜいじゃく)性が見つかったとして注意を呼び掛けた。活用範囲が広く攻撃された場合の影響が大きいため、IPAはできるだけ早急に修正プログラムを適用するよう呼び掛けている。 CVE識別番号はCVE-2022-21449。影響度を示すCVSS v3のベーススコアは、「情報改ざんの可能性がある」として10点中の7.5。この脆弱性を悪用すると、ネットワークアクセスさえできれば認証せずとも、遠隔地からデータやプログラムの不正操作を行える恐れがあるという。 対象バージョンはOracle Java SE 18、Oracle Java SE 17.0.2、Oracle Java SE 11.0.14、Oracle Java SE 8 Update 321、Oracle Java SE 7 U
CVE-2022-21449: Psychic Signatures in Java
The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.
広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を
オープンソースのロギングライブラリとしてさまざまなJavaアプリケーションに使われている「Apache Log4j」に、任意のリモートコードが実行できてしまう脆弱性が発見されました(CVE - CVE-2021-44228)。 これが悪用されると、第三者が勝手にサーバを操作して悪意のあるソフトウェアを組み込んだり、悪意のある攻撃を行う際の踏み台にされるなどのさまざまな攻撃が行われます。 すでに脆弱性の存在は広く知れ渡っているため、脆弱性のあるLog4jを使っているシステムはいつでも攻撃を受ける可能性があるのです。 この脆弱性は広範囲な影響が予想されており、多くの専門家が非常に深刻な状況として捉えています。 できるだけ速やかに、JavaアプリケーションにおけるLog4jの利用の確認と対策が必要です。 Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、例えばStrutsやR
Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました | DevelopersIO
AWSチームのすずきです。 2021年12月11日、 AWS の Managed Ruleとして提供されている AWSManagedRulesKnownBadInputsRuleSetに新しい保護ルール「Log4JRCE」が追加されました。 Apache Log4j2 Issue (CVE-2021-44228) Log4j の脆弱性(CVE-2021-44228)対策として、AWS WAFの有効性を確かめる機会がありましたので、紹介させていただきます。 AWS Managed Rule Known bad inputs 新しいルール 「Log4JRCE」 が追加されました。 試してみた WAF(ACLs)設定 AWSManagedRulesKnownBadInputsRuleSet のみ設定した WebACLを用意しました。 BadInputsRuleSetのバージョンはデフォルト、検証
SunのJREに深刻な脆弱性
Javaランタイム環境(JRE)に深刻な脆弱性が存在し、不正アプレットを使ってローカルファイルの読み込みや書き込み、アプリケーションの実行ができてしまう恐れがある。 Sun MicrosystemsのJavaランタイム環境(JRE)で深刻な脆弱性が報告され、問題を修正したアップデートがリリースされた。脆弱性を悪用されるとユーザーのシステムを制御されてしまう恐れがあるという。 Secuniaが11月29日に公開したアドバイザリーによれば、影響を受けるのはJava JDK 1.5.x、Java JRE 1.3.x~1.5.x/5.x、SDK 1.3.x/1.4.x(いずれもWindows、Solaris、Linux版)。 「リフレクション」APIの利用に関するエラーや、JREに含まれるJMXインプリメンテーションのエラーに関連して複数の脆弱性が存在し、これを突かれると、不正アプレットを使ってロ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NVD - CVE-2021-44228
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】/「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。【やじうまの杜】
JVNTA12-240A: Oracle Java 7 に脆弱性
Java bug exposes users to serious code-execution risk