※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョンのチェックが行えます。こちらからご利用ください。 概要 Oracle 社から Java SE に関する脆弱性が公表されています。 同社からは攻撃された場合の影響が大きい脆弱性であることがアナウンスされているため、できるだけ早急に修正プログラムを適用してください。 対象 サポートされている以下の Oracle 製品が対象です。 Oracle Java SE 18 Oracle Java SE 17.0.2 Oracle Java SE 11.0.14 Oracle Java SE 8 Update 321 Oracle Java SE 7 Update 331 対策 脆弱性の解消 - 修正プログラムの適用 - Oracle 社から提供されている最新版に更新してください。 J

情報処理推進機構（IPA）は4月20日、プログラミング言語「Java」の基本的な実行環境「Java SE」に重大な脆弱（ぜいじゃく）性が見つかったとして注意を呼び掛けた。活用範囲が広く攻撃された場合の影響が大きいため、IPAはできるだけ早急に修正プログラムを適用するよう呼び掛けている。 CVE識別番号はCVE-2022-21449。影響度を示すCVSS v3のベーススコアは、「情報改ざんの可能性がある」として10点中の7.5。この脆弱性を悪用すると、ネットワークアクセスさえできれば認証せずとも、遠隔地からデータやプログラムの不正操作を行える恐れがあるという。 対象バージョンはOracle Java SE 18、Oracle Java SE 17.0.2、Oracle Java SE 11.0.14、Oracle Java SE 8 Update 321、Oracle Java SE 7 U

The long-running BBC sci-fi show Doctor Who has a recurring plot device where the Doctor manages to get out of trouble by showing an identity card which is actually completely blank. Of course, this being Doctor Who, the card is really made out of a special “psychic paper“, which causes the person looking at it to see whatever the Doctor wants them to see: a security pass, a warrant, or whatever.

広範囲で攻撃試行が展開されている理由 Log4jソフトウェアライブラリは、デバイス上でのアクティビティをログとして記録するために極めて広い範囲で利用されており、特に、エラーの記録とセキュリティインシデントを遡って調査するための記録として利用されています。そのため、この脆弱性は極めて広範囲に影響しています。 この脆弱性は、デバイス上であらゆるコードをリモートで実行し、最終的にはすべてのコントロールを獲得することができます。もし攻撃者がこの方法でサーバーを侵害した場合、組織の内部ネットワークに深く入り込み、インターネットにさらされていないほかのシステムやデバイスに侵入する可能性があります。Log4jの高い普及率と組み合わせると、これは深刻な脆弱性となり、脆弱性評価システムであるCVSSで10ポイント中最大スコアである10が付与されました。もしIT部門が迅速に対応できない場合、莫大な数の組織、独

2021年12月10日に報告されたRCE脆弱性(CVE-2021-44228)をきっかけに、Log4J2ライブラリに対する4つのセキュリティホールが次々と指摘されています。『スッキリわかるJava入門』で学ばれエンジニアとしてご活躍中の方の中には、自身が運用中のシステムに関して、同脆弱性に関する対応にあたられている方もいらっしゃると思われます。 可能ならば、最新版（v2.17.1)に利用バージョンを引き上げるのが理想ではありますが、「つい先日に緊急対応したばかりなのに、再度の緊急対応が必要なのか」等、対処や判断、お客様への説明に悩まれることもあるかもしれません。以下の内容がお役に立てば幸いです。 前提： 報告されている4つの脆弱性 2021年12月31日 日本時間午前1時現在、Log4J2に関して報告されている4つの脆弱性は以下の通りです。 CVE-2021-44228(最初の脆弱性, 2

Log4J2に関するRCE脆弱性(CVE-2021-44228)が世界的な問題となっています。『スッキリわかるJava入門』で学ばれエンジニアとしてご活躍中の方の中には、自身が運用中のシステムに関して、同脆弱性に関する対応にあたられている方もいらっしゃると思われますが、以下、その作業のお役に立てたら幸いです。 Log4Jを使用しているかではなく、「バージョン番号の確認方法」をお探しの方は、こちら 注意(12/31 追記) 2021年12月31日 日本時間1時現在、Log4J2に関しては、以下の4つの脆弱性が報告され、順次公式から修正版が発表されています。 CVE-2021-44228(最初の脆弱性, 2021/12/10報告) 悪意ある第三者が任意コードの送りつけ実行可能な極めて重篤な脆弱性。v2.15.0で修正。 CVE-2021-45046(2番目の脆弱性, 2021/12/14報告)

Java向けログ出力ライブラリ「Apache Log4j」（Log4j）で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド（阿里雲）が脆弱性情報を発見後すぐに報告しなかったとして6カ月間の提携停止処分とした。中国の報道機関・21世紀経済報道が23日報じた。 問題となっているLog4jの脆弱性は、アリクラウドが発見したとされている。中国工業情報化部・ネットワーク安全管理局は、同社がこの脆弱性を米Apache Software Foundation（ASF）に報告した一方で、同局にはすぐに報告しなかったとしている。同局は別の情報セキュリティ機関からこの脆弱性の報告を受け、ASFに修正を促したという。 中国は「ネットワーク安全法」の第25条で「ネットワーク事業者は脆弱性など情報セキュリティ上のリスクが発生した場合、緊急対応を直ちに開始

はじめに 2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちらにおいても)かなりWAFそのものが話題になっていることに驚きました。ある人は「WAFが早速対応してくれたから安心だ！」と叫び、別の人は「WAFを回避できる難読化の方法が見つかった。WAFは役に立たない！」と主張する。さらにはGitHubに「WAFを回避できるペイロード(攻撃文字列)一覧」がアップロードされ、それについて「Scutumではこのパターンも止まりますか？」と問い合わせが来るなど、かなりWAFでの防御とその回避方法について注目が集まりました。 実はWAFにおいては、「回避(EvasionあるいはBypass)」との戦いは永遠のテーマです。これは今回Log4jの件で

2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン（以降はLog4j2と記載）で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 １．何が起きたの？ Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性（CVE-2021-44228）を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software

LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuthn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 LINE Security R&DチームがFIDO2認証標準を実装したFIDO2 ServerをOSSとして公開しました。 FIDO2-Serverは、FIDO2の登録と認証の主要部分を提供します。さまざまなWebブラウザとOSプラットフォーム、お