「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず/2022年4月の「Critical Patch Update」で対策済み、最新版への更新を
Spring4Shell: Security Analysis of the latest Java RCE '0-day' vulnerabilities in Spring | LunaTrace
Getting Spring to load BinderControllerAdvice may require manual steps to have it load. We'll update this guide with more details about how to do that soon. import org.springframework.core.Ordered; import org.springframework.core.annotation.Order; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.bind.annotation.ControllerAdvice; import org.springframework.web.bind.
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾(1/6 ページ) Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。 IPA Apache Log4j の脆弱性対策について(CVE-2021-44228) Apache Log4j 2公式ページ Log4j 2で今回問題
世界のプログラミング言語(39) グラフデータベースをCypherでデータを視覚化してデータを再発見しよう
今回紹介する言語は、グラフデータベースのNeo4jで使う問い合わせ言語のCypherです。Cypherは一般的なデータベースを操作するSQLと同等の機能をグラフデータベースで扱えるように設計されたものです。グラフデータベースは見た目も面白く、データ管理だけでなく視覚化の点でも役立ちます。 Cypherで3と5の公倍数を表示したところ Cypherとは 以前、本連載では一般的なデータベース(RDBMS)で使えるSQLについて紹介しました。SQLはデータベースの問い合わせ言語であり、簡単なコマンドによりデータの挿入、変更、削除、検索を行います。 同じように、Cypherを使うことでグラフデータベースを操作できます。CypherはもともとNeo4jのために設計されましたが、2015年にオープンソースのプロジェクトとしても公開されています。 グラフデータベースNeo4jとは なお、Neo4jという
アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に
Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド(阿里雲)が脆弱性情報を発見後すぐに報告しなかったとして6カ月間の提携停止処分とした。中国の報道機関・21世紀経済報道が23日報じた。 問題となっているLog4jの脆弱性は、アリクラウドが発見したとされている。中国工業情報化部・ネットワーク安全管理局は、同社がこの脆弱性を米Apache Software Foundation(ASF)に報告した一方で、同局にはすぐに報告しなかったとしている。同局は別の情報セキュリティ機関からこの脆弱性の報告を受け、ASFに修正を促したという。 中国は「ネットワーク安全法」の第25条で「ネットワーク事業者は脆弱性など情報セキュリティ上のリスクが発生した場合、緊急対応を直ちに開始
Inside the code: How the Log4Shell exploit works
Products & ServicesSecurity OperationsThreat ResearchAI ResearchNaked SecuritySophos Life The critical vulnerability in Apache’s Log4j Java-based logging utility (CVE-2021-44228) has been called the “most critical vulnerability of the last decade.” Also known as Log4Shell, the flaw has forced the developers of many software products to push out updates or mitigations to customers. And Log4j’s m
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【海外ITトピックス】 懸念される第二段階 最悪の脆弱性「Log4Shell」
/blog/2021/12/microsofts-response-to-cve-2021-44228-apache-log4j2-jp/