Javaのライブラリ「log4j2」に外部からコマンド実行可能な脆弱性が発見されIT業界が阿鼻叫喚

1 : 2021/12/15(水) 17:46:40.88 ID:wZxG8vSW0: ソース
https://search.yahoo.co.jp/realtime/search?p=log4j2&;fr=top_ga1_sa&ei=UTF-8

既にマイクラのサーバなどが攻撃されている模様

SaziumR
@SaziumR

【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。
既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。
2 : 2021/12/15(水) 17:46:56.57 ID:wZxG8vSW0: 御社のシステムは大丈夫ですか？
3 : 2021/12/15(水) 17:47:04.04 ID:qrfQv9Qv0: 今更かよ
4 : 2021/12/15(水) 17:48:33.01 ID:gPuO0BdD0: そんな阿鼻叫喚なの？
5 : 2021/12/15(水) 17:49:01.37 ID:qdYvrlwc0: Minecraftさーばーだけ？
6 : 2021/12/15(水) 17:50:02.68 ID:IjPEhPm/0: 知らないうちに使われてるシステム沢山あるだろ
7 : 2021/12/15(水) 17:51:39.23 ID:Zq9mo93q0: もう対策終わったわ
飲みにいける
8 : 2021/12/15(水) 17:52:17.35 ID:DX+hTFmq0: とりあえず対応済みのWAFいれとけ。
ほんとにブロックしてるかわからんのもあるけど、経営者は納得させられる。
9 : 2021/12/15(水) 17:53:27.27 ID:TUWDz1/n0: うちのシステムはログ一切出してないからセーフだったわw
14 : 2021/12/15(水) 17:58:06.95 ID:iqZbdoss0: >>9
いやそれはそれで？
10 : 2021/12/15(水) 17:54:30.74 ID:PteVian80: log4j 1系だから助かったわ
34 : 2021/12/15(水) 18:36:29.23 ID:zMyH/KSl0: >>10
古いバージョンだとokなのか？
どういう事やねん
37 : 2021/12/15(水) 18:41:21.85 ID:z54+dU2K0: >>34
新しい機能追加したら穴が開いた
車のキーをリモコンにしたらリレーアタックで盗まれたとかそんな感じ
11 : 2021/12/15(水) 17:54:44.20 ID:RmxQmKjt0: 古いlog4j使ってるから無事だわ
12 : 2021/12/15(水) 17:55:31.17 ID:yUQYpWqY0: （ ; ; ）ブルースクリーンとダイアログ怖いゆ
22 : 2021/12/15(水) 18:12:08.19 ID:saPYMjJf0: >>12

ブルースクリーン懐かしいなw
13 : 2021/12/15(水) 17:55:51.83 ID:772CqYIU0: ウチは対応完了した
15 : 2021/12/15(水) 18:05:38.88 ID:7NIkv4rM0: クラス削除した
16 : 2021/12/15(水) 18:06:33.85 ID:JESbq4Xn0: log4net は助かった？
21 : 2021/12/15(水) 18:10:51.79 ID:wZxG8vSW0: >>16
今回はlog4j以外は無事
17 : 2021/12/15(水) 18:08:34.33 ID:D0cu3gIi0: ログ出すだけの機能が乗っ取られるってやばない？
18 : 2021/12/15(水) 18:09:04.87 ID:5xl14ml80: あー、これそんなに大したことないぞｗ
19 : 2021/12/15(水) 18:09:31.84 ID:z54+dU2K0: 脆弱性を利用して脆弱性をふさぐワクチンｗ
20 : 2021/12/15(水) 18:10:13.66 ID:oc3RCelc0: ボランティア開発者の中にハッカーやらクラッカーが紛れ込んでいるのはオープンソースソフトウェアでは良くある事
23 : 2021/12/15(水) 18:12:15.92 ID:0z25rC120: なお、2.15.0では対策不十分だった模様
2.16.0に更新しないといけない
24 : 2021/12/15(水) 18:13:46.98 ID:Bo+EfHvJ0: 徹夜だよ
しかも今日知った
26 : 2021/12/15(水) 18:17:12.46 ID:Ynghlkee0: >>24
遅くね？
先週金曜にうちの会社対応されてたよ
25 : 2021/12/15(水) 18:15:30.64 ID:Bw3easdZ0: Java嫌いの俺は設計の段階で使わない選択をしたから大勝利だ
27 : 2021/12/15(水) 18:18:16.62 ID:z54+dU2K0: 今回のは完全にバックドア
28 : 2021/12/15(水) 18:21:37.83 ID:oLVZwdC30: ログなのに文字列置換とかやらかしてるのがなあ。
29 : 2021/12/15(水) 18:22:47.85 ID:iSsFdcZR0: 使ってなかったセフセフ
でも問い合わせがやまねえｗｗｗ
30 : 2021/12/15(水) 18:23:56.07 ID:XHx8jW6Y0: 銀行のシステムやばいんじゃない
特にみずほ
31 : 2021/12/15(水) 18:24:15.04 ID:WhKCDL930: ぜい弱性を利用してパッチ当ててくれるセキュリティ会社があるぞ
32 : 2021/12/15(水) 18:26:25.18 ID:NeHS8zju0: アビ教官「俺？」
33 : 2021/12/15(水) 18:29:38.51 ID:5Q0jFFc40: なんでそんな余計な機能付けたんだ？
歴史的にはformat系でも苦しんできたのにlog4j界隈は余程若者しかいなかったのか？
59 : 2021/12/15(水) 21:28:52.35 ID:IrpdyHYE0: >>33
もうつかってる人いねーだろうから、削除しようとissueたてたら、使ってるごく僅かな（しかも声のデカイ）やつから、猛反対をされてそのまんま。
猛反対したやつや、実装をした人は基本的に責任はいっさいとらない。それがOSSだから。
35 : 2021/12/15(水) 18:36:41.55 ID:crwH5tac0: サニタイズしろ
36 : 2021/12/15(水) 18:40:58.25 ID:bj7w0GZv0: 結局影響範囲はどうなんだ
38 : 2021/12/15(水) 18:45:55.10 ID:8fIdr+4l0: JNDI Lookupを無効にしとけばOK
40 : 2021/12/15(水) 18:50:43.39 ID:BHhmLv1P0: ログなんて書き込みスレッドとキュー管理するだけの
単純機構なんだからこんなリスク抱えるくらいなら自作しとけよ
一度設定決めて設置したら二度と変更しないだろうから多機能である必要もないんだし
41 : 2021/12/15(水) 19:03:54.35 ID:w84DJhWT0: >>40
ログ出力機能毎回テストするため工数ないんで駄目です
コストを取ってリスクを取ります
56 : 2021/12/15(水) 20:41:34.81 ID:BHhmLv1P0: >>41
オープンソース使ったらテストしないの？
すごい世界だな
簡単なものなら自作した方がコストも低くなるんじゃないのか
57 : 2021/12/15(水) 20:44:54.71 ID:0v18rAvC0: >>56
一回他の案件で使ったら実績アリでテストすっ飛ばすなんてやらんのだ
42 : 2021/12/15(水) 19:07:41.35 ID:urbt8jDI0: logなんとかがいまいちよくわからん。
L4D2みたいなもん(´･ω･`)？
43 : 2021/12/15(水) 19:12:27.79 ID:g1tmgJD40: 入っているSNSではJAVA自体を使っていないから安全って暫定報告があったなあ
44 : 2021/12/15(水) 19:14:23.48 ID:YPBS4wOd0: どういう仕組みでアタックが成功されるのだろうか？
ログなんて、ラインプリンターにエラーやワーニングの
メッセージを書き出すだけのプログラムなのに。
51 : 2021/12/15(水) 19:39:59.20 ID:QJ+zq0fk0: >>44
デシリアライズたそうな
53 : 2021/12/15(水) 20:10:49.85 ID:H+mdF6bc0: >>44
魔法の文字列に自作プログラムの置かれたURLを書く(どうも自作プログラムの置かれたURLの情報を応答するサーバーも必要っぽい)
例えばIDとかメールアドレスの文字列を書き込む欄だけど不正な文字列でないとログに出ないのでそんなありえない場所にあえて魔法の文字列を書く。

自作プログラムでは権限昇格させる別の脆弱性を使ったりして多段で乗っ取ったり情報漏洩させたりする
45 : 2021/12/15(水) 19:15:42.76 ID:x6Tsg0qq0: どこも2b2tみたいになるわけか
46 : 2021/12/15(水) 19:17:22.27 ID:j9SBb3Ea0: ぬるぽ
47 : 2021/12/15(水) 19:22:54.83 ID:w+74toY40: >>46
ガッ
48 : 2021/12/15(水) 19:28:17.66 ID:RAaPQBDC0: うちはlog4jの1.2系だったのでセーフ
49 : 2021/12/15(水) 19:34:15.58 ID:Tlge7Rw90: うちも1.2なのでセーフやった
まぁ、入り口のWAFで弾くようにしたみたいやが
50 : 2021/12/15(水) 19:38:26.98 ID:m+uCdy280: 蓋を開けたらそこまでじゃなかったな
52 : 2021/12/15(水) 19:56:21.88 ID:GlSvty6s0: 弊社、マイナーな会社だから大丈夫と高みの見物。
54 : 2021/12/15(水) 20:19:01.34 ID:KAyo52yC0: 一昔前はJavaが天下統一すると思ったんだけどね
58 : 2021/12/15(水) 21:17:51.88 ID:LpmuDrew0: IT企業勤務だがこれのなにがヤバいのか全く理解できん
61 : 2021/12/15(水) 21:31:23.15 ID:qkaDH+in0: >>58
なんちゃってIT企業？

SES専門とかの？
63 : 2021/12/15(水) 21:33:39.27 ID:IrpdyHYE0: >>58
新卒入社半年～1年程度だったらまあ許せるかも。でもコンピューターサイエンス専攻してて知らなかったらちょっとマズい…
経験2年目以降で解らないようなら業界向いてないからジョブチェンジをおすすめ
60 : 2021/12/15(水) 21:29:47.18 ID:v6+GgDtW0: お前ら一体何の話をしてるんだ
62 : 2021/12/15(水) 21:33:06.37 ID:z54+dU2K0: IT企業勤務（役員付け運転手）とか？
64 : 2021/12/15(水) 21:45:45.54 ID:8Jv+vGDZ0: シュワちゃん来たら嬉しいぞ
66 : 2021/12/16(木) 06:24:21.93 ID:ZY1Q6IIs0: 今時はWAFではじくだろ？
プログラマー様は忙しいのだからインフラ屋でなんとかしとけってな
67 : 2021/12/16(木) 12:55:06.42 ID:AOTbkWgx0: 対応は難しくないが自動化されてないリリース前評価が鬱陶しすぎる
プロジェクト数が多いからかなわんわ