「Text4Shellã€ã®å½±éŸ¿ãŒã€ŒDockerã€ã«ã‚‚拡大 ~悪用ãŒå®¹æ˜“ãªä»»æ„コード実行ã®è„†å¼±æ€§ï¼äººæ°—ã®æ–‡å—列処ç†ãƒ©ã‚¤ãƒ–ラリ「Apache Commons Textã€ã«æ¬ 陥
Log4Shellã§ä½•ãŒèµ·ã“ã£ã¦ã„ãŸã®ã‹ã‚’追ã£ã¦ã¿ã‚‹ - ã‚»ã‚ュアスカイプラス
ã¯ã˜ã‚ã« ã“ã‚“ã«ã¡ã¯ã€‚久々ã«å¯åŠã‚„らã‹ã—ã¦å‡¹ã‚“ã§ã‚‹ã€SSTç ”ç©¶é–‹ç™ºéƒ¨ã®å°é‡Žé‡Œã§ã™ã€‚今年入ã£ã¦ããŸæ–°äººã•ã‚“ãŸã¡ã¯ã€ç§ã®ã‚ˆã†ã«ãªã‚‰ãªã„ã§ã»ã—ã„ã¨ç¥ˆã‚‹ã°ã‹ã‚Šã§ã™ã€‚ ã•ã¦ã€æ–°å¹´åº¦ã«ã¯å…¥ã£ã¦ã—ã¾ã„ã¾ã—ãŸãŒã€ã¤ã„先日ã¾ã§2021年度新å’ç ”ä¿®æœ€å¾Œã®å»¶é•·æˆ¦ã¨ã—ã¦ã€ä»¥å‰è©±é¡Œã«ãªã£ãŸLog4Shell脆弱性ã®PoCを作るã¨ã„ã†èª²é¡Œã«å–り組んã§ã„ã¾ã—ãŸã€‚ã‚„ã£ã¨å‹•ä½œã™ã‚‹ã¨ã“ã‚ã¾ã§ã„ã£ãŸã‚‚ã®ã®ã€ã“ã“ã¾ã§ã®é“ã®ã‚Šã¯éžå¸¸ã«æžœã¦ã—ãªã複雑ã§é•·ã険ã—ã„ã‚‚ã®ã§ã—ãŸã€‚ ã‚»ã‚ュリティæ¥ç•Œã«ãŠã„ã¦ã€å¤šãã®å ´åˆè„†å¼±æ€§ã®è©³ç´°ãªå†ç¾æ‰‹é †ã¯ä¼ã›ã‚‰ã‚Œã‚‹å‚¾å‘ã«ã‚ã‚Šã¾ã™ã€‚ãã‚Œã¯ä¸»ã«æ‚ªç”¨ã‚’防ããŸã‚ãªã®ã§ã™ãŒã€ã‚»ã‚ュリティã®åˆå¦è€…ã«ã¯å®Ÿéš›ã®æ‰€ä½•ã‚’ã©ã†ã™ã‚‹ã¨ã©ã†å±ãªã„ã®ã‹ã€åˆ†ã‹ã‚Šã¥ã‚‰ã„å ´åˆã‚‚多ã„ã®ãŒç¾çŠ¶ã§ã™ã€‚ Log4Shell脆弱性ã¯éžå¸¸ã«å¤§ããªé¨’ãŽã«ãªã£ãŸãŸã‚ã€å„所ã®å¯¾å¿œã‚‚æ—©ã‹ã£ãŸã‹ã¨æ€ã„ã¾ã™ã€‚ãã“ã§ã€æ¯”較的Log4Shellã®å½±éŸ¿ãŒè½ã¡ç€ã„ã¦ã
LINEãŒApache Software Foundationã®Silver Sponsorã«ãªã‚Šã¾ã—ãŸ
LINEæ ªå¼ä¼šç¤¾ã¯ã€2023å¹´10月1æ—¥ã«LINEãƒ¤ãƒ•ãƒ¼æ ªå¼ä¼šç¤¾ã«ãªã‚Šã¾ã—ãŸã€‚LINEãƒ¤ãƒ•ãƒ¼æ ªå¼ä¼šç¤¾ã®æ–°ã—ã„ブãƒã‚°ã¯ã“ã¡ã‚‰ã§ã™ã€‚ LINEヤフー Tech Blog ã“ã‚“ã«ã¡ã¯ã€‚Open Source Program Office TF (タスクフォース)ã§ã™ã€‚ç§ãŸã¡ã¯LINEã®ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢çµ„ç¹”ã¨ã‚ªãƒ¼ãƒ—ンソースエコシステムをèžåˆã—ã€ã‚ˆã‚Šå¯†æŽ¥ãªé–¢ä¿‚を築ã„ã¦ã‚³ãƒŸãƒ¥ãƒ‹ãƒ†ã‚£ã¨å…±ã«æˆé•·ã§ãる文化を作るãŸã‚ã«æ§˜ã€…ãªå–り組ã¿ã‚’è¡Œã£ã¦ã„ã¾ã™ã€‚今回ã¯ã€ã“ã®3月ã«LINEãŒApache Software Foundationã®Silver Sponsorã«åŠ ã‚ã‚‹ã“ã¨ã«ãªã£ãŸèƒŒæ™¯ã«ã¤ã„ã¦ç´¹ä»‹ã—ã¾ã™ã€‚ Apache Software Foundationã«ã¤ã„㦠Apache Software Foundation (ASF)ã¯ã€ã‚ªãƒ¼ãƒ—ンソースプãƒã‚¸ã‚§ã‚¯ãƒˆé–‹ç™ºã«å¿…è¦ãªè³‡æºã‚’支æ´ã™ã‚‹ãŸã‚ã«1999å¹´ã«ç±³å›½ã§è¨ç«‹ã•ã‚ŒãŸ
ç±³ãƒã‚¤ãƒ‡ãƒ³æ”¿æ¨©ã€ã€ŒLog4jã€å•é¡Œãªã©ã‚’å—ã‘GAFAã‚„OpenSSFãªã©ã‚’æ‹›ã„ãŸOSSã‚»ã‚ュリティ会è°é–‹å‚¬
ç±³ãƒã‚¤ãƒ‡ãƒ³æ”¿æ¨©ã€ã€ŒLog4jã€å•é¡Œãªã©ã‚’å—ã‘GAFAã‚„OpenSSFãªã©ã‚’æ‹›ã„ãŸOSSã‚»ã‚ュリティ会è°é–‹å‚¬ 米連邦政府ã¯1月13日(ç¾åœ°æ™‚間)ã€Appleã€Googleã€Amazonãªã©ã„ã‚ゆるビッグテックã¨ã‚ªãƒ¼ãƒ—ンソースソフトウェア(OSS)組織ã®ãƒˆãƒƒãƒ—ã‚’æ‹›ã„ãŸã‚µã‚¤ãƒãƒ¼ã‚»ã‚ュリティ会è°ã‚’開催ã—ãŸã€‚2021å¹´12月ã«ç™ºè¦‹ã•ã‚ŒãŸLog4jã®è„†å¼±æ€§ã‚’契機ã«ç·Šæ€¥ã§é–‹å‚¬ãŒæ±ºã¾ã£ãŸã‚‚ã®ã 。 å‚åŠ ä¼æ¥ãŠã‚ˆã³çµ„ç¹”ã¯ã€Akamaiã€Amazonã€Apache Software Foundationã€Appleã€Cloudflareã€Meta(旧Facebook)ã€GitHubã€Googleã€IBMã€Linux Foundationã€Open Source Security Foundationã€Microsoftã€Oracleã€RedHatã€VMWare。Oracleã¯Log4jライブラリãŒå®Ÿè¡Œã•ã‚Œã‚‹Ja
グーグルã¨IBMã€é‡è¦ãªã‚ªãƒ¼ãƒ—ンソースプãƒã‚¸ã‚§ã‚¯ãƒˆã®ç‰¹å®šã‚’呼ã³ã‹ã‘--「Log4jã€å•é¡Œã‚’å—ã‘
å°åˆ·ã™ã‚‹ メールã§é€ã‚‹ テã‚スト HTML é›»åæ›¸ç± PDF ダウンãƒãƒ¼ãƒ‰ テã‚スト é›»åæ›¸ç± PDF クリップã—ãŸè¨˜äº‹ã‚’Myページã‹ã‚‰èªã‚€ã“ã¨ãŒã§ãã¾ã™ Googleã¨IBMã¯ã€ã‚ªãƒ¼ãƒ—ンソースã®ã‚»ã‚ュリティã®æ‡¸å¿µã«ã¤ã„ã¦ãƒ›ãƒ¯ã‚¤ãƒˆãƒã‚¦ã‚¹ãŒé–‹å‚¬ã—ãŸä¼šåˆã«å‚åŠ å¾Œã€é‡è¦ãªã‚ªãƒ¼ãƒ—ンソースプãƒã‚¸ã‚§ã‚¯ãƒˆã‚’特定ã™ã‚‹ãŸã‚ã«ã€IT組織ãŒå”力ã™ã‚‹ã‚ˆã†ã«å‘¼ã³ã‹ã‘ãŸã€‚ ホワイトãƒã‚¦ã‚¹ã®ã‚µã‚¤ãƒãƒ¼ã‚»ã‚ュリティ担当リーダーAnne Neubergeræ°ãŒä¸»å°Žã—ãŸã“ã®ä¼šåˆã«ã¯ã€Apacheã€Googleã€Appleã€Amazonã€IBMã€Microsoftã€Meta(旧Facebook)ã€Linuxã€Oracleã¨ã„ã£ãŸçµ„織やã€ç±³å›½é˜²çœã‚„米サイãƒãƒ¼ã‚»ã‚ュリティ・インフラセã‚ュリティåºï¼ˆCISA)ãªã©ã®æ”¿åºœæ©Ÿé–¢ã‹ã‚‰ã€é–¢ä¿‚者ãŒå‚åŠ ã—ãŸã€‚今回ã®ä¼šåˆã¯ã€2021å¹´12月ã«ç™ºè¦‹ã•ã‚Œã¦ä»¥æ¥ã€æ‡¸å¿µã•ã‚Œã¦ã„る「Apache Log4jã€
アリãƒãƒã€ã€ŒLog4jã®è„†å¼±æ€§ã‚’ä¸å›½å½“å±€ã«å ±å‘Šã—ãªã‹ã£ãŸã€ã¨ã—ã¦6カ月ã®ææºåœæ¢å‡¦åˆ†ã«
Javaå‘ã‘ãƒã‚°å‡ºåŠ›ãƒ©ã‚¤ãƒ–ラリ「Apache Log4jã€ï¼ˆLog4j)ã§12月10æ—¥ã«åˆ¤æ˜Žã—ãŸè„†å¼±æ€§ã‚’å·¡ã‚Šã€ä¸å›½ã®è¡Œæ”¿æ©Ÿé–¢ã§ã‚ã‚‹ä¸å›½å·¥æ¥æƒ…å ±åŒ–éƒ¨ã¯ã“ã®ã»ã©ã€ææºé–¢ä¿‚ã«ã‚るアリクラウド(阿里雲)ãŒè„†å¼±æ€§æƒ…å ±ã‚’ç™ºè¦‹å¾Œã™ãã«å ±å‘Šã—ãªã‹ã£ãŸã¨ã—ã¦6カ月間ã®ææºåœæ¢å‡¦åˆ†ã¨ã—ãŸã€‚ä¸å›½ã®å ±é“機関・21ä¸–ç´€çµŒæ¸ˆå ±é“ãŒ23æ—¥å ±ã˜ãŸã€‚ å•é¡Œã¨ãªã£ã¦ã„ã‚‹Log4jã®è„†å¼±æ€§ã¯ã€ã‚¢ãƒªã‚¯ãƒ©ã‚¦ãƒ‰ãŒç™ºè¦‹ã—ãŸã¨ã•ã‚Œã¦ã„る。ä¸å›½å·¥æ¥æƒ…å ±åŒ–éƒ¨ãƒ»ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯å®‰å…¨ç®¡ç†å±€ã¯ã€åŒç¤¾ãŒã“ã®è„†å¼±æ€§ã‚’ç±³Apache Software Foundation(ASF)ã«å ±å‘Šã—ãŸä¸€æ–¹ã§ã€åŒå±€ã«ã¯ã™ãã«å ±å‘Šã—ãªã‹ã£ãŸã¨ã—ã¦ã„る。åŒå±€ã¯åˆ¥ã®æƒ…å ±ã‚»ã‚ュリティ機関ã‹ã‚‰ã“ã®è„†å¼±æ€§ã®å ±å‘Šã‚’å—ã‘ã€ASFã«ä¿®æ£ã‚’促ã—ãŸã¨ã„ã†ã€‚ ä¸å›½ã¯ã€Œãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯å®‰å…¨æ³•ã€ã®ç¬¬25æ¡ã§ã€Œãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯äº‹æ¥è€…ã¯è„†å¼±æ€§ãªã©æƒ…å ±ã‚»ã‚ュリティ上ã®ãƒªã‚¹ã‚¯ãŒç™ºç”Ÿã—ãŸå ´åˆã€ç·Šæ€¥å¯¾å¿œã‚’ç›´ã¡ã«é–‹å§‹
「オープンソースã€ã¯å£Šã‚Œã¦ã„ã‚‹
christine.websiteã®ãƒ–ãƒã‚°ã‚ˆã‚Šã€‚ ã¾ãŸã¯: ãŠé‡‘を払ã‚ãªã„é™ã‚Šã€æœ‰ç”¨ãªã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã‚’書ã‹ãªã„ã®ã‹? 最近ã€é‡è¦ãªJavaエコシステム・パッケージã«å¤§ããªè„†å¼±æ€§ãŒè¦‹ã¤ã‹ã‚Šã¾ã—ãŸã€‚ã“ã®è„†å¼±æ€§ãŒå®Œå…¨ã«å…µå™¨åŒ–ã•ã‚Œã‚‹ã¨ã€æ”»æ’ƒè€…ã¯LDAPサーãƒã‹ã‚‰å–å¾—ã—ãŸä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã™ã‚‹ã‚ˆã†ã€Javaサーãƒã‚’強制ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚ <マラ> ã‚‚ã—ã“ã‚ŒãŒãƒ‹ãƒ¥ãƒ¼ã‚¹ã§ã€ã‚ãªãŸãŒJavaショップã§åƒã„ã¦ã„ã‚‹ãªã‚‰ã€æ®‹å¿µã§ã™ãŒã€ã‚ãªãŸã«ã¯2ã€3æ—¥ãŒå¾…ã£ã¦ã„ã¾ã™ã€‚ ç§ã¯ã€ã“ã‚ŒãŒã€Œã‚ªãƒ¼ãƒ—ンソースã€ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã®ä¸»è¦ãªã‚¨ã‚³ã‚·ã‚¹ãƒ†ãƒ å•é¡Œã®å…¨ã¦ã®å®Œç’§ãªç¸®å›³ã ã¨è€ƒãˆã¦ã„ã¾ã™ã€‚log4j2ãŒã€ã“ã®å•é¡Œã®æœ€æ‚ªã®ã‚·ãƒŠãƒªã‚ªã®1ã¤ã®å®Œç’§ãªä¾‹ã§ã‚ã‚‹ã¨æ€ã†ã®ã§ã€ã“ã®ã™ã¹ã¦ã«ã¤ã„ã¦ã„ãã¤ã‹è€ƒãˆã‚’æŒã£ã¦ã„ã¾ã™ã€‚ã“ã®å•é¡Œã«é–¢ä¸Žã—ãŸã™ã¹ã¦ã®äººãŒã€ç¾å®Ÿä¸–ç•Œã®å•é¡Œã«å¯¾ã™ã‚‹å®Œå…¨ã«å¦¥å½“ãªè§£æ±ºç–ã®ãŸã‚ã«ã“れらã™ã¹ã¦ã‚’è¡Œã£ãŸã“ã¨ã¯å®Œå…¨ã«åˆç†çš„ã§ã‚ã‚Šã€
Apache Log4jã®ä»»æ„ã®ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œã®è„†å¼±æ€§ï¼ˆCVE-2021-44228)ã«é–¢ã™ã‚‹æ³¨æ„å–šèµ·
JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11(新è¦ï¼‰ 2022-01-04(更新) I. æ¦‚è¦ æ›´æ–°: 2022å¹´1月4日記載 ç¾æ™‚点ã§ä¸æ˜Žãªç‚¹ã‚‚ã‚ã‚‹ã“ã¨ã‹ã‚‰ã€ä»Šå¾Œã®å‹•å‘次第ã§ä¸‹è¨˜æŽ²è¼‰å†…容を修æ£ã€æ›´æ–°ã™ã‚‹äºˆå®šãŒã‚ã‚Šã¾ã™ã®ã§ã€é–¢é€£æƒ…å ±ã¸ã®æ³¨è¦–ã®ã»ã‹ã€æœ¬æ³¨æ„å–šèµ·ã®æ›´æ–°å†…容もé€æ¬¡ã”確èªãã ã•ã„。 次ã®æ›´æ–°ã‚’è¡Œã„ã¾ã—ãŸã€‚詳細ã¯ã€ŒIII. 対ç–ã€ã‚’å‚ç…§ã—ã¦ãã ã•ã„。 - Apache Log4jã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³2.17.1(Java 8以é™ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼å‘ã‘)ã€2.12.4(Java 7ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼å‘ã‘)åŠã³2.3.2(Java 6ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼å‘ã‘)ãŒå…¬é–‹ã•ã‚Œã¾ã—㟠Javaベースã®ã‚ªãƒ¼ãƒ—ンソースã®ãƒã‚®ãƒ³ã‚°ãƒ©ã‚¤ãƒ–ラリã®Apache Log4jã«ã¯ã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œã®è„†å¼±æ€§ï¼ˆCVE-2021-44228)ãŒã‚ã‚Šã¾ã™ã€‚Apache Log4jãŒå‹•ä½œã™ã‚‹ã‚µãƒ¼ãƒãƒ¼ã«ãŠã„ã¦ã€é éš”ã®ç¬¬ä¸‰
log4jã®è„†å¼±æ€§ã«ã¤ã„ã¦
log4jã¨ã¯Java用ã®loggingライブラリã 。loggingライブラリã¨ã„ã†ã®ã¯ãƒã‚°ã¨ã—ã¦è¨˜éŒ²ã™ã¹ãæ–‡å—列をå—ã‘å–ã‚Šã€ãれをã©ã“ã‹ã«å‡ºåŠ›ã™ã‚‹ã‚‚ã®ã 。文å—列ã®ä¸èº«ã‚’通常ã®loggingライブラリã¯æ°—ã«ã—ãªã„。 log4jãŒé€šå¸¸ã®loggingライブラリã¨é•ã†ã®ã¯ã€æ–‡å—列ã®ä¸èº«ã‚’見ã¦ã€ä¸€éƒ¨ã®æ–‡å—列を変数ã¨ã¿ãªã—ã¦ç½®æ›ã™ã‚‹ã“ã¨ã 。ã“ã‚Œã¯log4jã®ãƒ‰ã‚ュメントã§ã¯lookupã¨å‘¼ã°ã‚Œã¦ã„る。 Log4j – Log4j 2 Lookups 例ãˆã°ãƒ—ãƒã‚°ãƒ©ãƒ を実行ä¸ã®Java runtimeã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’ãƒã‚°ã«å«ã‚ãŸã„å ´åˆã¯ã€"Java Runtime: ${java:runtime}"ãªã©ã¨ã™ã‚‹ã¨ã€"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"ãªã©ã®
commons-collectionsã®InvokerTransformer脆弱性ã«ã¤ã„㦠- R42日記
2015-11-12 追記ã‚り。「Springã¨Groovyã«ã‚‚直列化オブジェクト脆弱性ã€ã‚‚å‚ç…§ã—ã¦ãã ã•ã„。 昨日ã‹ã‚‰Java界隈ã§è©±é¡Œã«ãªã£ã¦ã„ã‚‹commons-collectionsã®è„†å¼±æ€§ã«ã¤ã„ã¦ã€‚ å…ƒãƒã‚¿ã¯ã“ã¡ã‚‰ã€‚ 対応ã™ã‚‹ãƒã‚±ãƒƒãƒˆã¯ã“ã¡ã‚‰ã€‚ InvokerTransformerãªã‚“ã¦ã‚¯ãƒ©ã‚¹ã¯åˆã‚ã¦çŸ¥ã‚Šã¾ã—ãŸãŒã€ãりゃã“ã†ã„ã†ã“ã¨ã«ãªã‚Šã¾ã™ã‚ˆãã‡â€¦ã¨ã„ã†ã®ãŒæ„Ÿæƒ³ã§ã™ã€‚ 影響をå—ã‘るシステムInvokerTransformerã¯commons-collectionsã¨commons-collections4ã®ä¸¡æ–¹ã«å˜åœ¨ã—ã¦ã„ã¾ã™ã€‚ ã„ãšã‚Œã‹ã®ãƒ©ã‚¤ãƒ–ラリ(commons-collections.jarã¾ãŸã¯commons-collections4.jar)ãŒã‚¯ãƒ©ã‚¹ãƒ‘スã«å˜åœ¨ã—ã¦ã„ã‚‹ã¨ã〠以下ã®ã„ãšã‚Œã‹ã®æ¡ä»¶ã‚’満ãŸã—ã¦ã„ã‚‹ã¨æ”»æ’ƒãŒæˆç«‹ã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ 直列化ã—ãŸã‚ªãƒ–ジェクトを
1
ランã‚ング
ランã‚ング
メンテナンス
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
GitHub - YfryTchsGD/Log4jAttackSurface
マイクラもãƒãƒƒã‚ング ~「Apache Log4jã€ãƒ©ã‚¤ãƒ–ラリã«è‡´å‘½çš„ãªãƒªãƒ¢ãƒ¼ãƒˆã‚³ãƒ¼ãƒ‰å®Ÿè¡Œã®ã‚¼ãƒãƒ‡ã‚¤è„†å¼±æ€§ã€12月10æ—¥18:45追記】ï¼ã€ŒCVE-2021-44228ã€ã®CVE番å·ãŒå‰²ã‚Šå½“ã¦ã‚‰ã‚Œã‚‹äºˆå®šã€‚ã‹ãªã‚Šåºƒç¯„囲ã«å½±éŸ¿ã‹ã€‚ã€ã‚„ã˜ã†ã¾ã®æœã€‘
{{#tags}}- {{label}}
{{/tags}}