Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
知るほどに怖くなる!?Struts2脆弱性のメカニズム
JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を原因とする情報流出が後を絶たない。例えば、情報通信研究機構(NICT)は2017年5月2日、378人分の個人情報が流出した恐れがあると公表した。Struts2の脆弱性を悪用された事案は、公表されている分だけでこれで12件目だという。 2017年3月から5月にかけて発生している情報漏洩のほとんどの原因は、3月9日に公開された「S2-045」(および実質的にほぼ同じ脆弱性である「S2-046」)である。Struts2では、これまでに多くの脆弱性が報告されてきた。情報処理推進機構(IPA)は「Apache Struts2 の脆弱性対策情報一覧」というページでそれらの脆弱性をまとめている。 一覧表をながめていると、「任意のコードを実行される脆弱性」と記されたものが多い。「Remote Code Executio
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
Re:作り直すべきじきではない (#2307075) | セキュリティ専門家曰く「Javaは作り直す時期に来ている」 | スラド
(ユパ)JAVAをSunの海深く沈め、本社へ帰ってくれぬか? ここに残るPGは少ない。今修正するのはやさしいが、これ以上のバグ対応は無意味だ。 (クシャナ)やつにはOSのアップグレードもOSの変更も効かぬ。一度書けばどこでも動いてしまうと。 わからぬか?もはや後戻りはできないのだ。 巨大な力を他社が持つ恐怖ゆえに、私はJAVAのメンテナンスを命令された。 バグの実在が知られた以上、ハッカー達はこの地にウィルスを送り込むだろう。 お前たちに残された道は一つしかない。JAVAを修正してハッカーの干渉を排しやつと共に生きることだ。 見ろ! (ユパ) バグにか? (クシャナ)我が夫となる者はさらにおぞましきものを見るだろう。 バグをつぶしセキュリティを取り戻すに何をためらう!我が社がSunから奪ったようにやつを奪うがいい! (ユパ) JAVAは復活させぬ。
米Oracleの怠慢を批判――「Javaはアンインストールすべき」
米Microsoftはここ数年、OSのセキュリティ強化において、かなりいい仕事をしてきた。そのおかげで、マルウェアを使った攻撃は、OSに代わってアプリケーションレイヤーが狙われるようになっている。マルウェア対策ソフトベンダーであるロシアのセキュリティ企業Kaspersky LabsがまとめたITセキュリティ動向に関する最新報告書を見ても、Microsoftのアプリケーションが極めてしっかりとしている一方で、米OracleのJavaや米Adobe Systemsの「Adobe Acrobat」「Adobe Flash」には課題が多いことが分かる。 報告書によると、2012年第3四半期のエクスプロイトのうち、56%はJavaの脆弱性を、25%は「Adobe Acrobat Reader」(バージョン6からは「Adobe Reader」に名称変更)の脆弱性を悪用していた。MicrosoftのWi
Apache TomcatにDoS攻撃を招く脆弱性が発見される。5.5系から7.0系までが対象 | OSDN Magazine
Apache Tomcat開発チームは1月17日、Apache Tomcatに関するセキュリティ警告を発表した。影響を受けるのはバージョン5.5.0~5.5.34、6.0.0~6.0.33、7.0.0~7.0.22で、対策済みバージョンへのアップデートを呼びかけている。 発見された脆弱性は大量のパラメーターとパラメーター値を処理する際の不具合によるもので、これを悪用することによりCPUを大量に浪費させるDoS攻撃が可能になるという。この不具合は、2011年12月に開催された「Chaos Communication Congress」で発表されたHash衝突(Hashdos)攻撃の報告を受け、分析調査しているときに見つかったという。 開発チームはこのバグを修正したバージョンとして、6.0系のバージョン6.0.35および7.0系のバージョン7.0.23を2011年中にリリースしており、また5.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
全国共有電話帳、デコンパイルすると確かに bakagihiromitsu と ahonosugiura というメソッド名あ... on Twitpic