共有
  • 記事へのコメント43

    • 注目コメント
    • 新着コメント
    その他
    NOV1975
    NOV1975 まあ、これならAPサーバのアウトバウンド接続制限あればとりあえずは平気か?

    2021/12/12 リンク

    その他
    tamanecoplus
    tamanecoplus 私が使ってた頃(2000年代中盤)には無かった機能。JNDI以前に注入された値を変数として評価する時点でありえないんだが…

    2021/12/11 リンク

    その他
    onesplat
    onesplat こりゃ愛想尽かされても仕方ないな。不必要に難しいことするからこうなる。シンプルに保つのが大事なんじゃぞ

    2021/12/11 リンク

    その他
    urtz
    urtz メジャー言語の古いメジャーライブラリというリスク

    2021/12/11 リンク

    その他
    T-norf
    T-norf ログで名前解決をするのは分からないではないけど、JNDI側の問題と悪魔合体して、史上最悪の影響範囲になりそう。ldap止めるとしても任意ポート使えるので大部分deny ALLしないと止まらないよ。パッチあて急ごう

    2021/12/11 リンク

    その他
    dbfireball
    dbfireball 学びとしてメモ

    2021/12/11 リンク

    その他
    homarara
    homarara IPAのサイトに何も情報無いのは何故だ。

    2021/12/11 リンク

    その他
    kincholjet
    kincholjet Javaよく知らんのだけど変数の中身をログに出力するのってこういうライブラリ使わないといけないくらい大変なの?

    2021/12/11 リンク

    その他
    maguro1111
    maguro1111 これを発見・報告したのがアリババなのが現代という感じ

    2021/12/11 リンク

    その他
    taruhachi
    taruhachi 例外なく全ての入力はサニタイズしないとダメだよ。何も信用しちゃダメ。他のシステムから渡された値に関して、そちらでサニタイズされてる筈であったとしても、そっちでは問題ないだけかもしれない。

    2021/12/11 リンク

    その他
    havanap
    havanap なんでLDAPアクセスでリモートコードが実行できるのかはこのへんに https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE.pdf

    2021/12/11 リンク

    その他
    Nyoho
    Nyoho “このURLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう”

    2021/12/11 リンク

    その他
    mohno
    mohno なんでSQLインジェクションみたいな脆弱性がいまどき?と思ったけど、「Jndi Lookup」にそういうリスクがあると知られないまま、log4jがログ出力の書式に使っていたということか(?) (SQLインジェクションみたいだな)

    2021/12/11 リンク

    その他
    houyhnhm
    houyhnhm なるほど。log4j自分では使った事はないがやたら見かけるものだけに注意だなあ。

    2021/12/11 リンク

    その他
    strawberryhunter
    strawberryhunter 第2引数以降なら問題なし。対処法としては2.15.0に更新、起動パラメータに-D log4j2.formatMsgNoLookups=true を追加、LDAPへの接続をファイアウォールでブロック、という方法があるみたい。もう今ならライブラリ更新が一番かな。

    2021/12/11 リンク

    その他
    versatile
    versatile 変数展開時のサニタイズかぁ

    2021/12/11 リンク

    その他
    shunkeen
    shunkeen “URLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう”/制御不能な柔軟性が牙を剥いてる🐲怖い

    2021/12/11 リンク

    その他
    kanopen
    kanopen わかりやすい

    2021/12/11 リンク

    その他
    junki_au
    junki_au わかりやすい。

    2021/12/11 リンク

    その他
    programmablekinoko
    programmablekinoko SQL文はサニタイズするのが常識となったが、今後JDNI文字列が含まれていないか確認する必要があるな

    2021/12/11 リンク

    その他
    maninthemiddle
    maninthemiddle 外部から指定されうる任意文字列が展開評価されてる時点でだいぶ嫌な感じ。よくこんな大穴が明るみに出なかったな。 「銀行の貸金庫の換気扇が隣の中華料理屋の換気扇と繋がってた」くらいの何でだよ感

    2021/12/11 リンク

    その他
    ot2sy39
    ot2sy39 lispっぽい。

    2021/12/11 リンク

    その他
    fujihiro0
    fujihiro0 こっち読んだほうがいい。 https://www.lunasec.io/docs/blog/log4j-zero-day/

    2021/12/11 リンク

    その他
    ryuichi1208
    ryuichi1208 “このURLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまうのだ” わかりやすい

    2021/12/11 リンク

    その他
    uehaj
    uehaj ファイアウォール内ならldapは外部に行かないだろう。防火壁大事。ゼロトラストとか言ってたら昇天する。

    2021/12/11 リンク

    その他
    spark7
    spark7 ページが90年代みあって今回の件の記事だと一瞬わからなかった。

    2021/12/11 リンク

    その他
    Wafer
    Wafer 変数を展開できる(わかる)ネットワーク越しに変数に相当する...(ん?)このURLにドットをつけると任意の...(なんでやねん)

    2021/12/11 リンク

    その他
    rryu
    rryu JNDIのLDAPサービスプロバイダにはエントリからJavaオブジェクトを取り出せる仕様があって、ログメッセージのメタ表記としてJNDIも参照できるようにしていたら罠に嵌まったという感じっぽい。

    2021/12/11 リンク

    その他
    otoan52
    otoan52 opensslとかもそうだけど、インフラになってしまった枯れたはずのコードの脆弱性に、十分目が行き届かない問題はあるみたいなのよね。特に面白みもないので注視してる人がいない、なのに問題があると影響がでかい

    2021/12/11 リンク

    その他
    augsUK
    augsUK この「仕様」はこれまで知ってた人もいたと思うが、よく大きく目立つ悪用をされてこなかったな

    2021/12/11 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    log4jの脆弱性について

    log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事