こんにちは。かえると言います。 Twitterでは https://twitter.com/harukaeru_en で活動しています。日本人です。 日本語版: https://twitter.com/harukaeru1981 何番煎じかわかりませんが、log4j2の任意コード実行ができるようなので、実際に実行してみて、どれぐらい危険なのかをここに書くことにしました。 どういう脆弱性なのか?(TL;DR) 簡単にいうと、Webサイトやゲームサーバなどのテキストボックスで のように書くと、そこのサイトにあるJavaのclassファイルを、標的のサーバ内で実行することができます。(実際はこれとはちょっと書き方は違っていて、これは擬似コードなので動きません) 標的のサーバでは、そのclassファイルを使って自由にコマンドを呼び出せます。 ↓のように、こういったコマンドをjavaファイルの中に書
![log4j2の脆弱性を使って実際に任意コード実行してみました👀](https://cdn-ak-scissors.b.st-hatena.com/image/square/7fa1dca4944a23f4e7ae004fac61dab69bc00d3d/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--rKGBNnk8--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3Alog4j2%2525E3%252581%2525AE%2525E8%252584%252586%2525E5%2525BC%2525B1%2525E6%252580%2525A7%2525E3%252582%252592%2525E4%2525BD%2525BF%2525E3%252581%2525A3%2525E3%252581%2525A6%2525E5%2525AE%25259F%2525E9%25259A%25259B%2525E3%252581%2525AB%2525E4%2525BB%2525BB%2525E6%252584%25258F%2525E3%252582%2525B3%2525E3%252583%2525BC%2525E3%252583%252589%2525E5%2525AE%25259F%2525E8%2525A1%25258C%2525E3%252581%252597%2525E3%252581%2525A6%2525E3%252581%2525BF%2525E3%252581%2525BE%2525E3%252581%252597%2525E3%252581%25259F%252520%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3A%2525E3%252581%25258B%2525E3%252581%252588%2525E3%252582%25258B%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2pNbUd4NXlWM3BBZFlIaWpnYXhhTHJwbjBtOUlpTWFLWmE5MkxkcGc9czk2LWM%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)