log4j2の脆弱性(CVE-2021-44228) - てきとうなメモ

テクノロジーカテゴリーの変更を依頼記事元:

boscono.hatenablog.com

3 usersがブックマークコメント

コメント

1

記事へのコメント1件

注目コメント
新着コメント

estragon ありゃ / 「ただし、8u191以上でも攻撃可能な方法があるようだ。～(追記:2021/12/16 07:16) Tomcat以外にも攻撃可能な方法が見つかっているようなので、これも推奨できない」

2021/12/16 リンク

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

規約違反を報告

アプリのスクリーンショット

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

関連記事

{{ total_bookmarks_with_user_postfix }}{{ root_title }}

log4j2の脆弱性(CVE-2021-44228) - てきとうなメモ

少し調べたのでメモ概要外部からの入力をlog4jでそのままログ出力しようとすると、任意のコードを実行... 少し調べたのでメモ概要外部からの入力をlog4jでそのままログ出力しようとすると、任意のコードを実行できる脆弱性 CVE-2021-45046とv2.16.0について v2.15.0で修正されたかに見えたが、MessagePatternConverter以外の攻撃経路が見つかった。そのため、v2.16.0へのアップデートが推奨される。form atMsgNoLookupsや%m{nolookups}では防げない経路なので、これらによる対策も不十分である。 v2.16.0ではJNDIの機能そのものをデフォルトでオフにして、メッセージ内のLookup機能は削除されている。ただし、v2.15.0のデフォルト設定でJNDIへのアクセスはlocalhost等の自身へのアクセスに限られているので、危険度は低い localhostのbypass手段が見つかったようだ。そのため、Lookup可能な経路

ブックマークしたユーザー

lasherplus2021/12/18
estragon2021/12/16

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

設定を変更しましたx