虹裏img歴史資料館

ここでは虹裏imgのかなり古い過去ログを閲覧することができます。新しいログはこちらにあります

21/12/10(金)15:39:57 Javaで... のスレッド詳細

削除依頼やバグ報告は メールフォーム にお願いします。個人情報、名誉毀損、侵害等については積極的に削除しますので、 メールフォーム より該当URLをご連絡いただけると助かります。

画像ファイル名:1639118397683.png 21/12/10(金)15:39:57 No.874906580

Javaでとても広く使われているログライブラリに酷い脆弱性が見つかった 例えばJavaで書かれたマイクラサーバで武器に特定のURLの名前付けて殺すと そのマイクラサーバで任意コード実行しほうだい お堅いシステムでも普通に使われていていったいどうなるんだこれ

1 21/12/10(金)15:43:06 No.874907401

まあ、そのうち修正されるやろの精神

2 21/12/10(金)15:52:47 No.874909574

なんで外部入力をevalするんだよ…

3 21/12/10(金)15:53:20 No.874909692

なぜエスケープしてないんですか…?

4 21/12/10(金)15:56:31 No.874910382

https://www.lunasec.io/docs/blog/log4j-zero-day/ evalで任意コード実行というよりは任意クラスファイルを読み込ませて実行可能ってことだな …任意コード実行じゃん!

5 21/12/10(金)16:03:07 No.874911736

XSSみたいな感じか結構古典的な脆弱性だな

6 21/12/10(金)16:07:06 No.874912568

でもよぉlog.info(weaponName)みたいにしてたとしてもweaponNameを自前でエスケープしとけばよかったんだろ?

7 21/12/10(金)16:11:13 No.874913434

>でもよぉlog.info(weaponName)みたいにしてたとしてもweaponNameを自前でエスケープしとけばよかったんだろ? ログは来た情報をそのまんま保存して欲しいことが多くて 例えば管理画面で表示したいときにはHTMLへの出力前にエスケープすれば良いと考えるから まさかログで来た情報を保存するだけで爆発するとは誰も予想してないよ

8 21/12/10(金)16:13:29 No.874913908

>まさかログで来た情報を保存するだけで爆発するとは誰も予想してないよ まぁ確かにエスケープ処理を自分で書かせるログライブラリって何だよって話だしな…

9 21/12/10(金)16:41:30 No.874919963

そもそもなんでログに文字列吐いただけなのに勝手に中身解釈してアクセスしに行く実装にしたんだよ

10 21/12/10(金)16:43:29 No.874920368

コンシューマ目線で目立つのはマイクラの鯖くらいだけどJava製のエンプラ製品はかなりの割合で入ってそうだろうしヤバいなーとなっている

11 21/12/10(金)16:44:48 No.874920632

>コンシューマ目線で目立つのはマイクラの鯖くらいだけどJava製のエンプラ製品はかなりの割合で入ってそうだろうしヤバいなーとなっている ログライブラリなんて大体みんなこれ使ってるしな…

12 21/12/10(金)16:47:30 No.874921222

Java使ってるけどこれだけでLDAPサーバに問い合わせてクラスファイル取ってくるなんて知らなかった

13 21/12/10(金)16:48:25 No.874921423

>コンシューマ目線で目立つのはマイクラの鯖くらいだけどJava製のエンプラ製品はかなりの割合で入ってそうだろうしヤバいなーとなっている これ悪意のあるサーバに繋がったAndroid端末でも影響うけるかもしれなくて騒然となってる

14 21/12/10(金)16:50:05 No.874921843

>XSSみたいな感じか結構古典的な脆弱性だな XSSはHTMLとして表示するときに発動だけど こいつログとして保存しただけで任意コード実行発動だからもっと酷い

15 21/12/10(金)16:53:13 No.874922586

1.2だから大丈夫だよ

16 21/12/10(金)16:55:46 No.874923174

こういった知識が何もなくて申し訳ないんだけど自己防衛出来るものなのかい?諦めて寝て待つしかない?

17 21/12/10(金)16:57:48 No.874923610

>こういった知識が何もなくて申し訳ないんだけど自己防衛出来るものなのかい?諦めて寝て待つしかない? 何もないの知識レベルがどのくらいかわからないけどプログラミング経験とかシステム構築経験がない限りは寝て待つしかないと思う

18 21/12/10(金)16:58:30 No.874923791

>こういった知識が何もなくて申し訳ないんだけど自己防衛出来るものなのかい?諦めて寝て待つしかない? アップデートが来たら適切に当てよう

19 21/12/10(金)17:00:51 No.874924354

うちはlogbackなのでセーフ

20 21/12/10(金)17:00:57 No.874924379

log4j slf4j logback なんだおまえら

21 21/12/10(金)17:01:53 No.874924588

クライアント側から任意コード実行できるってやばいのでは?

22 21/12/10(金)17:02:42 No.874924787

>クライアント側から任意コード実行できるってやばいのでは? やばいし悪意のあるサーバからクライアント側で任意コード実行できるのもやばい

23 21/12/10(金)17:02:49 No.874924809

>何もないの知識レベルがどのくらいかわからないけどプログラミング経験とかシステム構築経験がない限りは寝て待つしかないと思う 説明不足ですまない…消費者側っていうかマイクラ遊ぶ側は自己防衛出来るのかなって事を聞きたかったんだ…

↑Top