虹裏img歴史資料館 - imgの文化を学ぶ

ここでは虹裏imgのかなり古い過去ログを閲覧することができます。

  • iOSアプリ 虹ぶら AppStoreで無料配布中

    • Javaで... のスレッド詳細

    削除依頼やバグ報告はメールフォームにお願いします。 個人情報,名誉毀損,侵害等について積極的に削除しますので、メールフォームより該当URLをご連絡いただけると助かります

    21/12/10(金)15:39:57 No.874906580

    Javaでとても広く使われているログライブラリに酷い脆弱性が見つかった 例えばJavaで書かれたマイクラサーバで武器に特定のURLの名前付けて殺すと そのマイクラサーバで任意コード実行しほうだい お堅いシステムでも普通に使われていていったいどうなるんだこれ

    1 21/12/10(金)15:43:06 No.874907401

    まあ、そのうち修正されるやろの精神

    2 21/12/10(金)15:52:47 No.874909574

    なんで外部入力をevalするんだよ…

    3 21/12/10(金)15:53:20 No.874909692

    なぜエスケープしてないんですか…?

    4 21/12/10(金)15:56:31 No.874910382

    https://www.lunasec.io/docs/blog/log4j-zero-day/ evalで任意コード実行というよりは任意クラスファイルを読み込ませて実行可能ってことだな …任意コード実行じゃん!

    5 21/12/10(金)16:03:07 No.874911736

    XSSみたいな感じか結構古典的な脆弱性だな

    6 21/12/10(金)16:07:06 No.874912568

    でもよぉlog.info(weaponName)みたいにしてたとしてもweaponNameを自前でエスケープしとけばよかったんだろ?

    7 21/12/10(金)16:11:13 No.874913434

    >でもよぉlog.info(weaponName)みたいにしてたとしてもweaponNameを自前でエスケープしとけばよかったんだろ? ログは来た情報をそのまんま保存して欲しいことが多くて 例えば管理画面で表示したいときにはHTMLへの出力前にエスケープすれば良いと考えるから まさかログで来た情報を保存するだけで爆発するとは誰も予想してないよ

    8 21/12/10(金)16:13:29 No.874913908

    >まさかログで来た情報を保存するだけで爆発するとは誰も予想してないよ まぁ確かにエスケープ処理を自分で書かせるログライブラリって何だよって話だしな…

    9 21/12/10(金)16:41:30 No.874919963

    そもそもなんでログに文字列吐いただけなのに勝手に中身解釈してアクセスしに行く実装にしたんだよ

    10 21/12/10(金)16:43:29 No.874920368

    コンシューマ目線で目立つのはマイクラの鯖くらいだけどJava製のエンプラ製品はかなりの割合で入ってそうだろうしヤバいなーとなっている

    11 21/12/10(金)16:44:48 No.874920632

    >コンシューマ目線で目立つのはマイクラの鯖くらいだけどJava製のエンプラ製品はかなりの割合で入ってそうだろうしヤバいなーとなっている ログライブラリなんて大体みんなこれ使ってるしな…

    12 21/12/10(金)16:47:30 No.874921222

    Java使ってるけどこれだけでLDAPサーバに問い合わせてクラスファイル取ってくるなんて知らなかった

    13 21/12/10(金)16:48:25 No.874921423

    >コンシューマ目線で目立つのはマイクラの鯖くらいだけどJava製のエンプラ製品はかなりの割合で入ってそうだろうしヤバいなーとなっている これ悪意のあるサーバに繋がったAndroid端末でも影響うけるかもしれなくて騒然となってる

    14 21/12/10(金)16:50:05 No.874921843

    >XSSみたいな感じか結構古典的な脆弱性だな XSSはHTMLとして表示するときに発動だけど こいつログとして保存しただけで任意コード実行発動だからもっと酷い

    15 21/12/10(金)16:53:13 No.874922586

    1.2だから大丈夫だよ

    16 21/12/10(金)16:55:46 No.874923174

    こういった知識が何もなくて申し訳ないんだけど自己防衛出来るものなのかい?諦めて寝て待つしかない?

    17 21/12/10(金)16:57:48 No.874923610

    >こういった知識が何もなくて申し訳ないんだけど自己防衛出来るものなのかい?諦めて寝て待つしかない? 何もないの知識レベルがどのくらいかわからないけどプログラミング経験とかシステム構築経験がない限りは寝て待つしかないと思う

    18 21/12/10(金)16:58:30 No.874923791

    >こういった知識が何もなくて申し訳ないんだけど自己防衛出来るものなのかい?諦めて寝て待つしかない? アップデートが来たら適切に当てよう

    19 21/12/10(金)17:00:51 No.874924354

    うちはlogbackなのでセーフ

    20 21/12/10(金)17:00:57 No.874924379

    log4j slf4j logback なんだおまえら

    21 21/12/10(金)17:01:53 No.874924588

    クライアント側から任意コード実行できるってやばいのでは?

    22 21/12/10(金)17:02:42 No.874924787

    >クライアント側から任意コード実行できるってやばいのでは? やばいし悪意のあるサーバからクライアント側で任意コード実行できるのもやばい

    23 21/12/10(金)17:02:49 No.874924809

    >何もないの知識レベルがどのくらいかわからないけどプログラミング経験とかシステム構築経験がない限りは寝て待つしかないと思う 説明不足ですまない…消費者側っていうかマイクラ遊ぶ側は自己防衛出来るのかなって事を聞きたかったんだ…