1: 少考さん ★ 2021/12/10(金) 19:30:35.24 ID:xiaBfHy29
※ITmedia NEWS
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
https://www.itmedia.co.jp/news/articles/2112/10/news157.html
2021年12月10日 16時42分 公開
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている。
(略)
※省略していますので全文はソース元を参照して下さい。
https://twitter.com/5chan_nel (5ch newer account)
19: ニューノーマルの名無しさん 2021/12/10(金) 19:41:14.57 ID:24CVN+Hv0
>>1
数か月前からマイクラの2b2tサーバで悪用されてたやつかw
3: ニューノーマルの名無しさん 2021/12/10(金) 19:32:43.11 ID:T1iwrCAX0
ようこそJavaリパークへ
6: ニューノーマルの名無しさん 2021/12/10(金) 19:35:01.82 ID:2+nKzMR20
>>3
ホントのバグはここにある
4: ニューノーマルの名無しさん 2021/12/10(金) 19:32:43.31 ID:Sr9zZ2eX0
マジかよやべえ…
10: ニューノーマルの名無しさん 2021/12/10(金) 19:37:25.07 ID:bnuJteYL0
Javaオンでしか見れないページは糞ってことだねOK
15: ニューノーマルの名無しさん 2021/12/10(金) 19:39:17.82 ID:02VVpUS80
>>10
今どきそんなページないよwww
36: ニューノーマルの名無しさん 2021/12/10(金) 19:50:21.35 ID:bnuJteYL0
>>15
stopcovid19.metro.tokyo.lg.jp
46: ニューノーマルの名無しさん 2021/12/10(金) 19:54:57.20 ID:02VVpUS80
>>36
どこでJavaアプレットつこてるの?
11: ニューノーマルの名無しさん 2021/12/10(金) 19:37:29.53 ID:AXUy6gY90
log4j はちょっとヤバいな・・・
zlib の脆弱性のパニックに匹敵する範囲
13: ニューノーマルの名無しさん 2021/12/10(金) 19:38:39.99 ID:02VVpUS80
独自のロガーを実装していた俺様埼京!(別の脆弱性の可能性は認める!)
14: ニューノーマルの名無しさん 2021/12/10(金) 19:38:55.43 ID:TReZ3Ler0
Steamだと無差別攻撃できそうだな
クライアント起動しない方がいいか
17: ニューノーマルの名無しさん 2021/12/10(金) 19:39:28.54 ID:RNk5Bsir0
これは祭りが始まるな
18: ニューノーマルの名無しさん 2021/12/10(金) 19:40:46.53 ID:M7eh7uKK0
VMのくせに任意コード実行とかされるの?
31: ニューノーマルの名無しさん 2021/12/10(金) 19:48:14.61 ID:9u4Gh7J10
>>18
JNDI という、クラスを動的に呼び出す機能がある。
20: ニューノーマルの名無しさん 2021/12/10(金) 19:41:29.49 ID:VX1IsPR20
Webアプリの実装調査しないとダメになりそうだな。
入力文字をログ出力なんてしてないと思うけど。
21: ニューノーマルの名無しさん 2021/12/10(金) 19:41:39.27 ID:vTyWE6A80
マインクラフトがしばらく出来ない?
25: ニューノーマルの名無しさん 2021/12/10(金) 19:45:12.29 ID:KWgGdpXY0
同じかどうか知らないけど今日職場でコードにつまずいてこけそうになったわ
これだったのかな
27: ニューノーマルの名無しさん 2021/12/10(金) 19:45:45.93 ID:5cK26Bdg0
あー月曜が憂鬱すぎる・・・・これ結構面倒そう
30: ニューノーマルの名無しさん 2021/12/10(金) 19:47:36.51 ID:MwfLcoOL0
>>27
こんなの知らんぷりしとけよ
28: ニューノーマルの名無しさん 2021/12/10(金) 19:46:20.88 ID:VzaQ/eNL0
なんでログライブラリがこんなセキュリティホールになるんよ
どんな処理しとん?
29: ニューノーマルの名無しさん 2021/12/10(金) 19:46:42.72 ID:z2HejKx10
マイクラはオープンなマルチとかじゃなければ大丈夫なのかな
Steamはかなりまずそうだが
32: ニューノーマルの名無しさん 2021/12/10(金) 19:48:29.79 ID:0qyM7wX40
有無 ようわからん
これ使われているのはどのシステムなんですか?
37: ニューノーマルの名無しさん 2021/12/10(金) 19:50:32.50 ID:9u4Gh7J10
>>32
サーバサイドのJavaアプリはまず入ってると思っていい。
38: ニューノーマルの名無しさん 2021/12/10(金) 19:50:58.18 ID:7A4MdNQQ0
>>32
Javaのプログラムがログファイルを生成するためのライブラリだから
業務用のシステムではほとんど使ってるんじゃね?
44: ニューノーマルの名無しさん 2021/12/10(金) 19:53:54.67 ID:AXUy6gY90
>>32
ちゃんとした人が開発するJava製システムの9割以上は使ってるくらいの
まず最初に組み込むレベル
この手の使わないとトラブル対応やデバッグなんかの効率が100倍遅くなるレベル
33: ニューノーマルの名無しさん 2021/12/10(金) 19:48:40.55 ID:2kFjuvbV0
これ、とりあえず使ってるライブラリーやら何か全部調べろになるんだろうね。
40: ニューノーマルの名無しさん 2021/12/10(金) 19:51:35.97 ID:XHSPlzCK0
(・∀・;)きついな
41: ニューノーマルの名無しさん 2021/12/10(金) 19:52:25.39 ID:4W1ogC3A0
バグがない言語なんてないよ
42: ニューノーマルの名無しさん 2021/12/10(金) 19:52:54.68 ID:MwfLcoOL0
ログ出力にコマンド埋め込んで実行できるってこと?
まあ、ログ出力コードがバグってなきや大丈夫だろ
47: ニューノーマルの名無しさん 2021/12/10(金) 19:55:03.88 ID:8lS8jKuS0
>>42
サニタイズやってくれてんだろー
って甘えてなけりゃな
52: ニューノーマルの名無しさん 2021/12/10(金) 19:56:57.45 ID:AXUy6gY90
>>42
大規模で並列性が上がるほど飛んできた生データはキッチリ記録したくなる
それにかかるストレージ費用のコストは気にするな! って
45: ニューノーマルの名無しさん 2021/12/10(金) 19:54:46.85 ID:l5YyS2WB0
windows pc でパンピーが使う java アプレットはセーフ?
48: ニューノーマルの名無しさん 2021/12/10(金) 19:55:23.69 ID:jLrUYUSu0
5chにlog4jが使われてたら特定の書き込みをしてログに記録された後好きなコード実行し放題か。10年以上よくこの脆弱性見つからなかったな。
51: ニューノーマルの名無しさん 2021/12/10(金) 19:56:22.20 ID:7A4MdNQQ0
>>48
Java使ってたっけ?
54: ニューノーマルの名無しさん 2021/12/10(金) 19:57:17.85 ID:MwfLcoOL0
>>51
androidアプリはjavaじゃね?
61: ニューノーマルの名無しさん 2021/12/10(金) 20:00:58.97 ID:7A4MdNQQ0
>>54
クライアントアプリでは関係ないだろ
49: ニューノーマルの名無しさん 2021/12/10(金) 19:55:32.27 ID:LK0MPF0p0
エンタープライズはJava!って言い続けるおじさんお疲れ様です
53: ニューノーマルの名無しさん 2021/12/10(金) 19:57:16.98 ID:7A4MdNQQ0
起動時のパラメーターに「-Dlog4j2.formatMsgNoLookups=true」を加えることで暫定的に対策できるとの情報もあるので、サー
57: ニューノーマルの名無しさん 2021/12/10(金) 19:58:34.56 ID:7A4MdNQQ0
59: ニューノーマルの名無しさん 2021/12/10(金) 19:59:07.44 ID:ufbUZ9/H0
log4j2なら大丈夫?
60: ニューノーマルの名無しさん 2021/12/10(金) 20:00:24.74 ID:gk5WykzZ0
BDのメニューもJava使ってたような
63: ニューノーマルの名無しさん 2021/12/10(金) 20:03:59.89 ID:LVNak4DP0
1に貼ってある元記事の手順見るとめちゃくちゃ簡単だな
65: ニューノーマルの名無しさん 2021/12/10(金) 20:08:15.97 ID:9u4Gh7J10
>>63
${jdgi:ldap:// ・・・てログに出るように仕掛けるだけでいいように見えるね。
64: ニューノーマルの名無しさん 2021/12/10(金) 20:06:58.99 ID:/MxhFImo0
Javaもう入れてないわ
166: ニューノーマルの名無しさん 2021/12/11(土) 07:19:38.75 ID:Kyf6bhOD0
>>64
>>67
サーバーサイドの話だ
67: ニューノーマルの名無しさん 2021/12/10(金) 20:09:19.73 ID:OG8+5JVr0
オープンオフィスもjavaだよな
71: ニューノーマルの名無しさん 2021/12/10(金) 20:19:13.33 ID:24IRiW6h0
困るのは企業だけ?
個人レベルで困ったり対策した方がいいことある?
72: ニューノーマルの名無しさん 2021/12/10(金) 20:26:51.82 ID:02VVpUS80
>>71
中身がJavaVMとlog4jで動くアプリを使ってないか
アプリの情報表示や公式サイトでチェック
78: ニューノーマルの名無しさん 2021/12/10(金) 20:47:33.18 ID:24IRiW6h0
>>72
ありがとう
ちょっとよく分からないから賢い人がどうにかしてくれるの待つわ
93: ニューノーマルの名無しさん 2021/12/10(金) 21:23:45.00 ID:02VVpUS80
>>78
どういたしまして
有名所のアプリなら公式サイトのお知らせチェックして、アップデートとかすればいいと思う
マイナーなアプリは必須でなければ
安全確認取れるまで
しばらく利用見合わせるのおすすめ
ちなみにアプリだけでなくてネトゲとか
加入してるネットサービスも同じね
75: ニューノーマルの名無しさん 2021/12/10(金) 20:40:05.62 ID:qh/FRjVm0
log4jでログ出力してたらアウト?
79: ニューノーマルの名無しさん 2021/12/10(金) 20:48:59.11 ID:2OWWKKQS0
>>75
アウトじゃない?サーバー側から外部に出れないようにしていれば、多少はまし?
81: ニューノーマルの名無しさん 2021/12/10(金) 20:51:46.52 ID:9u4Gh7J10
>>79
LDAPサーバにある悪意のあるクラスを取得して実行しちゃうようだから、インターネットにアウトバウンドできなければ、とりあえずセーフなのかな。
82: ニューノーマルの名無しさん 2021/12/10(金) 20:53:56.34 ID:qh/FRjVm0
129: ニューノーマルの名無しさん 2021/12/10(金) 23:57:34.12 ID:2uKRzZaX0
>>75
アウトだな
実害あるかどうか関係なしに使ってるだけでアウト
テスト工程の脆弱性チェックなんてそんなもん
76: ニューノーマルの名無しさん 2021/12/10(金) 20:41:07.02 ID:62YszSH+0
年明けまで内緒にしとけばいいのに
80: ニューノーマルの名無しさん 2021/12/10(金) 20:51:35.78 ID:2OWWKKQS0
>>76
githubを見ていると脆弱性自体は10日以上前に公開されていたっぽい。攻撃用ツールが公開されたんで拙くなってきたんかね。
77: ニューノーマルの名無しさん 2021/12/10(金) 20:42:15.09 ID:l5YyS2WB0
俺がネット始めた頃はjavascriptでサイト閲覧者のクリップボードを
取得出来るのがデフォだったぞ、今考えるとMicrosoft頭おかしいだろ
84: ニューノーマルの名無しさん 2021/12/10(金) 20:59:41.91 ID:0GRh/F+e0
VM言語で、しかも今のサーバーアプリって仮想コンテナ、OS on OS
みたいな仕組みらしいやん、それくぐり抜けるん?
アクロバティックやねえ
92: ニューノーマルの名無しさん 2021/12/10(金) 21:20:56.27 ID:dshRebB10
>>84
SQLインジェクションみたいな感じやろ
106: ニューノーマルの名無しさん 2021/12/10(金) 21:56:03.62 ID:0GRh/F+e0
>>92
あれはHTTPのリクエストを契機にSQL実行みたいなやつやわな
これはログの書き込みが契機なわけやから外部というより内部犯行向き?
重要情報がどこかに筒抜けみたいな?
108: ニューノーマルの名無しさん 2021/12/10(金) 21:58:23.56 ID:2OWWKKQS0
>>106
外から操作できるんでね?どっかにツールが公開されてるはず。
86: ニューノーマルの名無しさん 2021/12/10(金) 21:01:55.01 ID:GuAxisyt0
Javaはウィルス
89: ニューノーマルの名無しさん 2021/12/10(金) 21:11:17.94 ID:dJtOf/oX0
まじかよ、やめてくれよ週明け影響調査させられたらたまったもんじゃない
90: ニューノーマルの名無しさん 2021/12/10(金) 21:17:04.29 ID:YcRKBKS10
開き直ってLog4jはBug4uへ
91: ニューノーマルの名無しさん 2021/12/10(金) 21:19:37.50 ID:kH4QK4uq0
log4jってApacheのログ出力とかにも組み込まれてるよな
割といろんなところで使われてた気がする
102: ニューノーマルの名無しさん 2021/12/10(金) 21:46:52.41 ID:GVTxl5fi0
>>91
自前のソフトはまだいいけど使ってるサードパーティやライブラリは全部調べないとな
ちゃんとしたところだと早々に通達が行くはず
94: ニューノーマルの名無しさん 2021/12/10(金) 21:29:30.38 ID:ba+iYdBg0
今までのjava案件で100%使ってるわ、知ったこっちゃねーけど
96: ニューノーマルの名無しさん 2021/12/10(金) 21:34:50.86 ID:GVTxl5fi0
Log4j使ってるシステム大量にあるだろな
頑張って
98: ニューノーマルの名無しさん 2021/12/10(金) 21:43:31.61 ID:w22TVaB30
これブラウザでJAVA機能オフにするとかそういうレベルの話じゃないんよね?
何をどーしといたらいいです?
103: ニューノーマルの名無しさん 2021/12/10(金) 21:47:31.55 ID:8lS8jKuS0
>>98
パッチ
99: ニューノーマルの名無しさん 2021/12/10(金) 21:45:47.76 ID:O2UdbH700
log4jなんて使われてないシステムの方が少なくね?
104: ニューノーマルの名無しさん 2021/12/10(金) 21:53:02.96 ID:LFMMZWUc0
俺が関わったJAVA案件では尽く使われてるな
105: ニューノーマルの名無しさん 2021/12/10(金) 21:54:25.74 ID:fN9Au/Xf0
一通り探してlog4j使ってないと結論づけたけど
本当に大丈夫なのかわかんないな
依存ライブラリが使ってるかはdependency tree見ればいいのか?
109: ニューノーマルの名無しさん 2021/12/10(金) 21:59:37.44 ID:MoPbejuE0
マイクラの方は半日で対応版出したので、もう大丈夫
110: ニューノーマルの名無しさん 2021/12/10(金) 22:01:02.31 ID:K8LjUxH50
Java.util.loggerはok?
112: ニューノーマルの名無しさん 2021/12/10(金) 22:03:14.84 ID:Wi/1ALeK0
ウチはslf4j(Logback)だったわ
113: ニューノーマルの名無しさん 2021/12/10(金) 22:04:58.06 ID:fN9Au/Xf0
114: ニューノーマルの名無しさん 2021/12/10(金) 22:06:41.94 ID:pifgwHz70
これまた随分メジャー所で・・・
115: ニューノーマルの名無しさん 2021/12/10(金) 22:09:31.94 ID:901K2pVY0
Javaってまーーーだロガーの競争やってんのかい
いい加減言語機能に入れて統一するべき
124: ニューノーマルの名無しさん 2021/12/10(金) 23:35:02.14 ID:gs/VEvuj0
>>115
slf4jにほぼ統一された
出力ロガー任意に選べるし
116: ニューノーマルの名無しさん 2021/12/10(金) 22:26:47.93 ID:e178f9d80
117: ニューノーマルの名無しさん 2021/12/10(金) 22:29:49.01 ID:gwMGnIMm0
1に乗ってる例は、Webサーバが普通のWebアクセスのログを1行出力したらアウト、っていう手順だからね
何らかの文字列を記録する処理があって、その文字列にユーザー側から送り付けられる文字列が含まれてたら、それだけで終わる仕組み
118: ニューノーマルの名無しさん 2021/12/10(金) 22:41:50.91 ID:k93R7YXk0
今日はたまたまlog4jsの調査をしていた。
こっちは流石に関係ねえだろうなw
120: ニューノーマルの名無しさん 2021/12/10(金) 23:00:28.85 ID:fN9Au/Xf0
logbackにまで飛び火すると俺がヤバいから震えてる
125: ニューノーマルの名無しさん 2021/12/10(金) 23:35:42.44 ID:gs/VEvuj0
>>120
安心しろ大丈夫、検証済み
123: ニューノーマルの名無しさん 2021/12/10(金) 23:19:08.18 ID:u9AqzWrh0
もう終わりだよこの言語
128: ニューノーマルの名無しさん 2021/12/10(金) 23:45:04.30 ID:n+OX7nGB0
これがあるからJava入れたくねえのよね
130: ニューノーマルの名無しさん 2021/12/10(金) 23:58:16.67 ID:O5wtkn3h0
日系メーカーの「独自のフレームワーク」に多用されてそうな予感
でもって政府系のお友達発注がグダグダでまたもや…
131: ニューノーマルの名無しさん 2021/12/10(金) 23:59:25.64 ID:2uKRzZaX0
開発なんてとっくにやめて偉そうに講釈垂れてるだけの立場になったので気楽だわw
お前ら開発者には同情してる
132: ニューノーマルの名無しさん 2021/12/11(土) 00:02:37.16 ID:9HbtY0cD0
大晦日・正月返上で再デプロイ祭りかな?
133: ニューノーマルの名無しさん 2021/12/11(土) 00:06:39.28 ID:AYusnyNh0
すげえな。バグじゃなく機能なのか
特定のキーワードを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードする機能が実装されてる
ゲームとかだとチャットとか入力できるものでログに記録させるだけでダウンロードさせてコード実行させれるとか
135: ニューノーマルの名無しさん 2021/12/11(土) 00:09:34.76 ID:Cbblmw150
4jっていうくらいだから日本鯖狙い撃ちか
136: ニューノーマルの名無しさん 2021/12/11(土) 00:30:42.02 ID:ECmvqtwA0
何でロガーにこんなやっかいな機能があるんだよ。週明けは間違いなく会社が祭になってるわ。勘弁して。
137: ニューノーマルの名無しさん 2021/12/11(土) 00:35:41.39 ID:wF8D/3xM0
じゃあ寝るから朝までには治しといてくれな。
139: ニューノーマルの名無しさん 2021/12/11(土) 00:38:52.77 ID:buyjttcK0
動作確認には便利そうな機能だなwwww
140: ニューノーマルの名無しさん 2021/12/11(土) 00:40:27.37 ID:YJ0JWtTv0
文字吐くだけの野郎が実はそんな強えのか
141: ニューノーマルの名無しさん 2021/12/11(土) 00:42:34.49 ID:ufAmTFoQ0
バグじゃなくてわざとなのがタチ悪いな
Log4jの信頼性ダダ下がり
144: ニューノーマルの名無しさん 2021/12/11(土) 02:11:01.29 ID:1hWnMRJ00
>>141
これな
なんでわざわざこんなの仕込んでるんだか
142: ニューノーマルの名無しさん 2021/12/11(土) 01:04:33.71 ID:joObT1kd0
こういうのって十分時間を空けてから公開されるもんじゃないの?
145: ニューノーマルの名無しさん 2021/12/11(土) 02:31:41.02 ID:5lRkpP7F0
>>142
どういう経緯で発覚したんだこれ
タイミング的にも今まで被害が報告されてなかったのもなんか怪しいよな
150: ニューノーマルの名無しさん 2021/12/11(土) 04:10:34.68 ID:gzJb9O2b0
143: ニューノーマルの名無しさん 2021/12/11(土) 01:49:32.75 ID:q+17H9gi0
サイバー兵器として仕込まれた脆弱性というだけのこと
カードは1枚ずつ切って行く
147: ニューノーマルの名無しさん 2021/12/11(土) 03:47:58.91 ID:2vrRiEav0
自称天才プログラマーのお前らに聞くけど、修正版が出るまで何日くらい掛かりそう?
148: ニューノーマルの名無しさん 2021/12/11(土) 04:04:37.22 ID:gzJb9O2b0
>>147
SIでも無くて申し訳ないけど、BigTechならすぐに対応してくれる(じゃないとマジでヤバすぎるので)。
でかいシステムは1ヶ月かかったりするかもね…
根幹だし…。
問題はあまりに広範囲かつどこでも使われてるから、実は使われてましたー!なんてのが平気で起こること。やばいのよ。
157: ニューノーマルの名無しさん 2021/12/11(土) 04:52:14.95 ID:9yaJavHY0
忙しくなりそうだw
160: ニューノーマルの名無しさん 2021/12/11(土) 05:28:56.70 ID:Vi7zEmdw0
iCloudがJava使ってるのに驚き
161: ニューノーマルの名無しさん 2021/12/11(土) 05:33:13.55 ID:sZk33niw0
えー、みんな今時logbackじゃ無いの?
162: ニューノーマルの名無しさん 2021/12/11(土) 06:39:46.27 ID:0M6hYOaw0
>>161
今時じゃないプロジェクトが生き残ってるんだよ
167: ニューノーマルの名無しさん 2021/12/11(土) 07:20:50.40 ID:Kyf6bhOD0
>>161
納品して動いているから厄介なんだろ
納品したことないんだろ
163: ニューノーマルの名無しさん 2021/12/11(土) 07:02:39.68 ID:+D0AyeWV0
いやいや、ソース公開なら外部コード実行部を洗い出すだろーがよ!で、そこ潰して再構築。
提供するサービスに不要ならそうするのが普通じゃねーのかよ(笑)
念の為にそこに来た場合の引数テキストに吐き出しておくのがせいぜいだな
コールスタックも必要なら書き出す
つーかマジで世界中のIT技術者の質が落ちてねえか?ソース引っ張ってきて実装するだけとかPG以下だぞ?(笑)
165: ニューノーマルの名無しさん 2021/12/11(土) 07:14:38.30 ID:zs5Uwvzz0
>>163
スターの数とか見てみんな使ってるから大丈夫って判断してるからなー
そもそもバグを踏まない限り他所のライブラリのコードなんて読まないし
リフレクション系のクラスなんて使っているところはザラにあるよね
23: ニューノーマルの名無しさん 2021/12/10(金) 19:42:56.56 ID:bkTfFcZz0
世界中のITエンジニアが徹夜だなこりゃあ
クリスマスも正月もなくなるエンジニアがいると心が痛む。
あ、僕は正月はお休みです。
http://ai.2ch.sc/test/read.cgi/newsplus/1639132235/
この記事へのコメントはありません。