【悲報】log4jで任意のコードが実行できる脆弱性

1: 風吹けば名無し 2021/12/11(土) 00:48:23.65 ID:/bv8WW1g0
やーばいでしょ

4: 風吹けば名無し 2021/12/11(土) 00:48:41.76 ID:eeBoVEHwa
これだからJは

 

8: 風吹けば名無し 2021/12/11(土) 00:49:48.37 ID:/bv8WW1g0
土日出社する人はお疲れやで…

 

9: 風吹けば名無し 2021/12/11(土) 00:49:55.47 ID:mC1e7VuNd
月曜日に阿鼻叫喚の現場ありそう

 

12: 風吹けば名無し 2021/12/11(土) 00:50:46.16 ID:AV8bV5JO0
>>9
土日に覚悟を決める時間があってよかったな

 

10: 風吹けば名無し 2021/12/11(土) 00:50:22.61 ID:ViZ9K+umM
まじかよ…
まさか】log4jで任意のコードが実行できる脆弱性があるとはな

 

13: 風吹けば名無し 2021/12/11(土) 00:50:59.75 ID:9EquGkM60
これなあ
自分で使ってるつもりなくてもミドルウェアに入ってたら更新やで
Jenkinsには入っとるしJenkins使ってるやろ?

 

24: 風吹けば名無し 2021/12/11(土) 00:53:06.13 ID:AV8bV5JO0
>>13
jenkins使っとるわ
ワイが保守担当じゃなくてほんと良かったわ

 

29: 風吹けば名無し 2021/12/11(土) 00:53:58.29 ID:i5Eu1YFB0
>>13
jenkinsなんかインターネットに公開してるところに置かんやろ
放置でOK

 

36: 風吹けば名無し 2021/12/11(土) 00:55:31.67 ID:9EquGkM60
>>29
じゃあElasticsearchとかは?

 

46: 風吹けば名無し 2021/12/11(土) 00:56:50.76 ID:i5Eu1YFB0
>>36
外からアクセスされる可能性があるかどうかや
内部システムにしか使ってないなら別になんもせんでもええやろ
内部犯対策したいなら知らんが

 

56: 風吹けば名無し 2021/12/11(土) 00:58:23.17 ID:9EquGkM60
>>46
てかえらい人が総点検命じて全部リストアップして更新しろとなるやろ
わかってて腹の据わった人ならこれは後回しでいいとか決断してくれるけど僧じゃないのやったらやれってなりそうやん

 

14: 風吹けば名無し 2021/12/11(土) 00:51:11.09 ID:wyJLgEy10
やばすぎやろ
まあなんのことかわからんのやけど

 

26: 風吹けば名無し 2021/12/11(土) 00:53:26.60 ID:nH2eRVHJ0
>>14
一言で言うと情報抜き取り放題

 

15: 風吹けば名無し 2021/12/11(土) 00:51:39.71 ID:0YA6qVlra
マイクラがサーバー閉じろで大盛り上がりしてるの草

 

18: 風吹けば名無し 2021/12/11(土) 00:51:45.43 ID:ViZ9K+umM
マジでやばすぎる

 

19: 風吹けば名無し 2021/12/11(土) 00:52:01.61 ID:Zg4vJwEO0
これどうすんの?
修正できるの?

 

22: 風吹けば名無し 2021/12/11(土) 00:52:47.31 ID:JR5Ue0ng0
>>19
既にLog4jの修正バージョンは出てるけどそれをすぐに適用できるかは別やからな

 

31: 風吹けば名無し 2021/12/11(土) 00:54:16.34 ID:9EquGkM60
>>22
ちゃんと更新のプロセス踏まなアカンからな
書類そろえてしかるべき権限者から承認もらわな無理や

 

20: 風吹けば名無し 2021/12/11(土) 00:52:27.71 ID:i5Eu1YFB0
ログ取らなければいいだけや

 

27: 風吹けば名無し 2021/12/11(土) 00:53:43.41 ID:L1KV7mvH0
胸がキリキリ痛むわホンマ
関係ないのになんでや

 

28: 風吹けば名無し 2021/12/11(土) 00:53:56.35 ID:/bv8WW1g0

ログ出力したらペイント起動したンゴ

https://twitter.com/5chan_nel (5ch newer account)

 

30: 風吹けば名無し 2021/12/11(土) 00:54:02.22 ID:2kVr50Kc0
野球で例えてや

 

43: 風吹けば名無し 2021/12/11(土) 00:56:18.29 ID:c66WLJdJ0
>>30
記録員にお願いしたらスコアボード書き換え放題や

 

33: 風吹けば名無し 2021/12/11(土) 00:54:52.95 ID:SX3tVrae0
使ったことないライブラリだ

 

34: 風吹けば名無し 2021/12/11(土) 00:54:57.48 ID:5TZk3xPm0
node.js経由でいけるらしいな

 

35: 風吹けば名無し 2021/12/11(土) 00:55:21.55 ID:RtZpOYRL0
信頼してたライブラリにこんなことされたら絶望するわ

 

37: 風吹けば名無し 2021/12/11(土) 00:55:32.61 ID:J2hC6eI30
SIer「ライブラリの更新とテストだけで稼げるやん、チャンスか?」

 

44: 風吹けば名無し 2021/12/11(土) 00:56:31.75 ID:L1KV7mvH0
>>37
何人死人が出るんや

 

38: 風吹けば名無し 2021/12/11(土) 00:55:52.45 ID:LvNcKXuM0
終わってて草
やっぱ時代は.netだわ

 

40: 風吹けば名無し 2021/12/11(土) 00:56:10.57 ID:kgjDxXfUd
悪意のある誰かが好き放題できるんか?そんなことないやろ?

 

41: 風吹けば名無し 2021/12/11(土) 00:56:14.41 ID:6NGyBgAs0
マイクラ公開鯖なんてそんなにあるんか?
ほとんどVPN使ってやってるものかと思ってたわ

 

42: 風吹けば名無し 2021/12/11(土) 00:56:16.51 ID:mC1e7VuNd
どうでもいいけど log4j2 やで

 

45: 風吹けば名無し 2021/12/11(土) 00:56:40.34 ID:SX3tVrae0
サーバぶっ壊れるなこれ

 

48: 風吹けば名無し 2021/12/11(土) 00:57:10.78 ID:8myL0swda
なんやかんや使ってる所多いやろ

 

49: 風吹けば名無し 2021/12/11(土) 00:57:19.77 ID:U12uB8/90
java使ってるところ軒並みアウトやろな

 

50: 風吹けば名無し 2021/12/11(土) 00:57:19.95 ID:gyjlp7iTd
ヤバイヤバイとは言うものの1日2日でどうにかできるもんでもないし

 

51: 風吹けば名無し 2021/12/11(土) 00:57:38.17 ID:pTYTeZDs0
残当
LDAPにアクセスできるとかいつかこうなると思ってました

 

52: 風吹けば名無し 2021/12/11(土) 00:57:38.19 ID:FvNtZLDf0
弊社のPKGは1.x系使用してたからセーフやったわ
社内規定的には最新にせなアカンかったのやけど

 

53: 風吹けば名無し 2021/12/11(土) 00:57:48.25 ID:9mFLuLwz0
任意コード実行の脆弱性はたまに発見されるけどこんな騒がれてるのは早々ないな

 

60: 風吹けば名無し 2021/12/11(土) 01:00:10.39 ID:Jdg5LD4MM
>>53
影響範囲がでかいからな
OSを除いた場合での最大規模やないか

 

68: 風吹けば名無し 2021/12/11(土) 01:02:29.78 ID:9mFLuLwz0
>>60
javaのライブラリ事情知らんけどそんなレベルかあ

 

54: 風吹けば名無し 2021/12/11(土) 00:57:50.56 ID:SLpXAzx4M
弊社のせいじゃないもーん

 

55: 風吹けば名無し 2021/12/11(土) 00:58:01.96 ID:i5Eu1YFB0
log4jなんかログ出力とログローテートくらいしかさせんのやから
テストはそこまでキツくないやろ
それ以上のことさせてるPJはガイジやからさっさとやめろ

 

57: 風吹けば名無し 2021/12/11(土) 00:58:50.55 ID:upOAVelJM
ファイル名をおちんちんびろーんとかにできちゃうんか?

 

58: 風吹けば名無し 2021/12/11(土) 00:59:40.39 ID:L1KV7mvH0
ハートブリードの脆弱性見つかった時はカード会社でも放置してるところあったからな
今まさにヤバいやろ

 

59: 風吹けば名無し 2021/12/11(土) 00:59:44.36 ID:AV8bV5JO0
どうでもいいけど4とか2とかを命名に使うの嫌いなんやが

 

61: 風吹けば名無し 2021/12/11(土) 01:00:13.09 ID:DljWbvYo0
放置や放置!

 

62: 風吹けば名無し 2021/12/11(土) 01:01:16.26 ID:5TZk3xPm0
んで
そのlogなんとかってのはなんや?ワイヤーシャークみたいなやつか?

 

66: 風吹けば名無し 2021/12/11(土) 01:02:01.47 ID:/bv8WW1g0
>>62
Javaの有名なログ出力ライブラリや

 

75: 風吹けば名無し 2021/12/11(土) 01:04:03.24 ID:5TZk3xPm0
>>66
ライブラリ自体に脆弱性とかあるんやね
ワイのお給料とかも書き換えられるんかな?

 

63: 風吹けば名無し 2021/12/11(土) 01:01:41.10 ID:sBTMBT110
バージョン2.15.0にあげて♡

 

69: 風吹けば名無し 2021/12/11(土) 01:02:39.10 ID:0U7XeA620
しばらくJAVA案件は受けないほうがええ感じなんか?

 

70: 風吹けば名無し 2021/12/11(土) 01:02:40.82 ID:LvNcKXuM0
すっごい簡単にログを吐けるからみんな使いまくってるw

 

71: 風吹けば名無し 2021/12/11(土) 01:02:52.25 ID:iHv+r+eRa
ワイのとこはマイクロサービスだからコンポーネント100くらいあるで~
ちな全部修正対象や?

 

73: 風吹けば名無し 2021/12/11(土) 01:03:51.36 ID:mC1e7VuNd
言うて今は logback が主流やろ

 

74: 風吹けば名無し 2021/12/11(土) 01:04:00.64 ID:j8n/ZXXAd
いうてだいたいプライベートネットワークのシステムやしだいじょうぶやろ

 

76: 風吹けば名無し 2021/12/11(土) 01:04:18.51 ID:/auQD3DN0
これめっちゃワロタ

 

78: 風吹けば名無し 2021/12/11(土) 01:05:04.32 ID:qpahhuka0
CVSS満点叩き出してて草
久々にこんなん見たわ

 

79: 風吹けば名無し 2021/12/11(土) 01:05:59.95 ID:5TZk3xPm0
最近Discordのサーバ軒並み落とされてるのってこれのせいか?

 

17: 風吹けば名無し 2021/12/11(土) 00:51:45.27 ID:3gvpVtpP0
会社大騒ぎになっとる
ワイは知らん

管理人からひと言

CVSS満点はさすがになぁ・・・・内容やばすぎるもんあぁ

引用元

http://tomcat.2ch.sc/test/read.cgi/livejupiter/1639151303/

関連記事

  1. 2018年パスワードを正しく使用していないランキング発表。 1位はカニエ・ウェスト、2位は米国防総省…

  2. 【IT/社会】仮想通貨、他人PCで無断採掘 初公判で無罪主張

  3. 【セキュリティ】仮想通貨を盗むマルウェアが「Google Play」に セキュリティ企業に発見され削…

  4. Huaweiの機器を使わないようアメリカが警告 通信傍受リスクを指摘

  5. 【セキュリティー】3G、4Gだけでなく5Gネットワークにも影響–AKAプロトコルに脆弱性…

  6. ハッカーになりたいんやが、地道にプログラミング学べばええんか?

  7. 【IT】「Log4j」の脆弱性を調査中にSolarWindsの脆弱性発見、修正済み–マイ…

  8. カテゴリ_security

    【IT】「パスワード不要時代」へ MSなどが新技術

  9. おまえらパスワードってどうやって管理してる?

コメント

    • 匿名
    • 2021年 12月 11日 9:26pm

    やだやだやだ
    週明け絶対にこの調査のお触れ出るわ
    クローズドなシステムは許してくれ…!

    • 匿名
    • 2021年 12月 12日 4:03am

    あと5時間後には不幸なエンジニアが量産されるのか。

    • 匿名
    • 2021年 12月 12日 5:19pm

    私は死ぬ覚悟ができました

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

  1. カテゴリ_その他

新着記事

  1. プログラマーって実際めちゃくちゃきついん?
  2. プログラマー「めっちゃ頭いいです。休日も朝から晩まで勉強してます。でも平均年収3…
  3. 【衝撃】ITエンジニアぼく(27)、転職しただけで年収が460万円から970万円…
  4. 【企業】上司が部下を監視、「絶対やってはいけない」とマイクロソフトが警告
  5. Twitterで、外資ITコンサル転職したら単価75→350に上がったとか言って…

ボンブの戯言

  1. 【ボンブの戯言】サーバーって何なの(オンプレに限る)
  2. 【ボンブの戯言】中古サーバーの買い方まとめました
  3. 【ボンブの戯言】フリーランスの実態調査をITエンジニアフリーランスの視点から見て…
  4. 【ボンブの戯言】ITエンジニアは、なぜうつ病になるのか
  5. 【ボンブの戯言】ITエンジニアがフリーランスになるときに考える・準備すること
PAGE TOP