21/12/10(金)22:53:21 花金は... のスレッド詳細
削除依頼やバグ報告は メールフォーム にお願いします。個人情報、名誉毀損、侵害等については積極的に削除しますので、 メールフォーム より該当URLをご連絡いただけると助かります。
画像ファイル名:1639144401463.png 21/12/10(金)22:53:21 No.875054267
花金はゆっくり紅茶でも飲みましょうや
1 21/12/10(金)22:54:15 No.875054650
いろんなところを忙しくしてる奴
2 21/12/10(金)22:54:19 No.875054676
スレ画log4jにした方がいいんじゃねえかな…
3 21/12/10(金)22:54:28 No.875054746
これコーヒーじゃね?
4 21/12/10(金)22:55:20 No.875055134
>スレ画log4jにした方がいいんじゃねえかな… 注意喚起ならそっちのほうがいいかな…
5 21/12/10(金)22:55:50 No.875055338
注意喚起したいって意味ならJavaの方が開くの多そう
6 21/12/10(金)22:56:11 No.875055500
ぐぐったけど文字なかったらlog4jのロゴってわかんねえわこれ
7 21/12/10(金)22:56:23 No.875055569
何にどう注意すればいいんです?
8 21/12/10(金)22:56:36 No.875055656
飲んどる場合かーッ!
9 21/12/10(金)22:56:39 No.875055673
ランプが光ってから動けばええねん
10 21/12/10(金)22:56:50 No.875055766
ヒで連呼されてるゼロデイってのはどういう意味なので? 世界の滅亡みたいな?
11 21/12/10(金)22:56:56 No.875055803
JavaのライブラリだしJavaってだけで警戒はしておいた方がいい
12 21/12/10(金)22:56:58 No.875055823
対応してる人たちはこんなとこ見る余裕ないし何を語るんだ
13 21/12/10(金)22:57:03 No.875055865
「」はlog4jが何なのかも理解してないと思うよ
14 21/12/10(金)22:57:08 No.875055895
oracleは駄目なやつだな…
15 21/12/10(金)22:57:19 No.875055982
>ヒで連呼されてるゼロデイってのはどういう意味なので? >世界の滅亡みたいな? 修正パッチや修正方法が確立していない状態の攻撃のこと
16 21/12/10(金)22:57:28 No.875056024
>対応してる人たちはこんなとこ見る余裕ないし何を語るんだ なんだか大変なことになってんな…って思いながら紅茶を飲む
17 21/12/10(金)22:57:44 No.875056141
>ヒで連呼されてるゼロデイってのはどういう意味なので? >世界の滅亡みたいな? 今なら抜き放題!
18 21/12/10(金)22:57:51 No.875056188
>対応してる人たちはこんなとこ見る余裕ないし何を語るんだ 問い合わせきたけど調査の結果問題なかった俺みたいなのもいる
19 21/12/10(金)22:57:52 No.875056190
明日出社だけどおあしすするか考えあぐねてる
20 21/12/10(金)22:58:02 No.875056255
泥のアプリやブラットホームまで影響出たりはないよね?
21 21/12/10(金)22:58:21 No.875056359
ドミノピザで「」が闇のデュエルするみたいなもんだよ
22 21/12/10(金)22:58:24 No.875056371
>「」はlog4jが何なのかも理解してないと思うよ 流石にそれは横暴だけどプログラムよく分からないって「」もスレ見に来るんだなぁとは思った そして何も知らない人に伝えるのは結構難しい ブラウザがjavaで動いてないならいいんじゃない?ってレスもあったし
23 21/12/10(金)22:58:31 No.875056414
>泥のアプリやブラットホームまで影響出たりはないよね? わからん…
24 21/12/10(金)22:58:49 No.875056528
>ヒで連呼されてるゼロデイってのはどういう意味なので? >世界の滅亡みたいな? 対策されるまで悪人のボーナスタイム
25 21/12/10(金)22:58:50 No.875056533
>泥のアプリやブラットホームまで影響出たりはないよね? スマホクライアントでは問題ないよ 鯖側は使ってる可能性むちゃくちゃ高いからわからん
26 21/12/10(金)22:59:04 No.875056629
流石に大手はもう対策してるだろうな…
27 21/12/10(金)22:59:09 No.875056676
>ヒで連呼されてるゼロデイってのはどういう意味なので? >世界の滅亡みたいな? やべーバグが修正される前にみんなにバレた
28 21/12/10(金)22:59:15 No.875056723
さっきマイクラのスレで笑ったけどなんか大変なんだな
29 21/12/10(金)22:59:20 No.875056757
週末でよかった~~
30 21/12/10(金)22:59:24 No.875056782
log4jなんてJAVA使ってりゃ使って当然レベルのコンポーネントだもんな
31 21/12/10(金)22:59:35 No.875056855
lookup(text) { try { check(text); ... } catch ... { // it's ok! ← けおおお } return it_is_ok_and_exec(text); } だいたいこんなコードらしい
32 21/12/10(金)22:59:47 No.875056933
これ絡みで社内ツールひとつ落とすよって通知があったから動くべき人たちは動いてるみたいなのでゆっくり休ませてもらうね…
33 21/12/10(金)23:00:12 No.875057115
javascriptのことでしょ!それぐらい知ってるわよ!
34 21/12/10(金)23:00:17 No.875057140
catch節ですべて握りつぶすコード本当に書く奴があるか!
35 21/12/10(金)23:00:20 No.875057166
うちはまだSLF4J+Logbackだったのでセーフだった…
36 21/12/10(金)23:00:34 No.875057265
部分的にJavaライブラリ使っててもアウトなのが怖い
37 21/12/10(金)23:00:43 No.875057330
外部からの入力をそのままログに記録しているサービスは概ねヤバいかもと思っても良い
38 21/12/10(金)23:01:09 No.875057516
LDAPのクラスがJNDI経由で実行できるっていうのはjavaが悪いんですか?log4j2が悪いんですか?
39 21/12/10(金)23:01:16 No.875057561
新しめのバージョン使ってたのでうちは無事週末を迎えられたぜ
40 21/12/10(金)23:01:20 No.875057584
前の職場がモロ影響くらってんなーって顔してる
41 21/12/10(金)23:01:24 No.875057613
>だいたいこんなコードらしい よねよ !えく
42 21/12/10(金)23:01:28 No.875057638
とりあえず2.15当てれば って思ったけど独自フレームワークとかミドルウェアとかアプリに組み込んでたらそれ自身が上げてくれないといけないのか? まずい?
43 21/12/10(金)23:01:29 No.875057641
>LDAPのクラスがJNDI経由で実行できるっていうのはjavaが悪いんですか?log4j2が悪いんですか? log4jが悪い
44 21/12/10(金)23:01:37 No.875057690
>>対応してる人たちはこんなとこ見る余裕ないし何を語るんだ >問い合わせきたけど調査の結果問題なかった俺みたいなのもいる あまりに運が良すぎる…
45 21/12/10(金)23:02:04 No.875057873
前の職場だったら対応で帰れないとこだった…
46 21/12/10(金)23:02:45 No.875058149
>まずい? ver2ならまだ良いんだが ver1も影響あるってことでこれがキツイ 2とは全く作りが違うのでアプリ自体の作り換えになりかねん
47 21/12/10(金)23:02:57 No.875058220
>まずい? システムで使ってる何かのバージョン変更は平時でも心を削る決断だぞ
48 21/12/10(金)23:03:01 No.875058240
java有料化! 有料化解除!
49 21/12/10(金)23:03:17 No.875058352
Javaやlog4j2が古くなければ可能性は低いらしいので やられるとしたらちょっと古めのあんまり熱心に運用してなさそうなサービスとかかな
50 21/12/10(金)23:03:26 No.875058409
>あまりに運が良すぎる… うむ…
51 21/12/10(金)23:03:45 No.875058555
>新しめのバージョン使ってたのでうちは無事週末を迎えられたぜ SLF4J+Logback使ってりゃセーフだな
52 21/12/10(金)23:03:49 No.875058580
>対応してる人たちはこんなとこ見る余裕ないし何を語るんだ とりあえず下に調査と作業投げて上の人に連絡取ろうとはしてるんだけど捕まらないし中間管理職にそれ以上はできないから待機しながらちょくちょく下の対応するぐらいしかないんだ…
53 21/12/10(金)23:03:58 No.875058636
>ver1も影響あるってことでこれがキツイ >2とは全く作りが違うのでアプリ自体の作り換えになりかねん 1用のパッチが緊急で出るパターンかな…
54 21/12/10(金)23:04:05 No.875058677
>>「」はlog4jが何なのかも理解してないと思うよ >流石にそれは横暴だけどプログラムよく分からないって「」もスレ見に来るんだなぁとは思った >そして何も知らない人に伝えるのは結構難しい >ブラウザがjavaで動いてないならいいんじゃない?ってレスもあったし なんか伸びてるスレがある!何の話?プログラム?やばい?やばい?ガンダムで例えて!やばいやばいインターネット壊れた!!! みたいな「」もいるよね
55 21/12/10(金)23:04:11 No.875058722
>Javaやlog4j2が古くなければ可能性は低いらしいので これが起きないlog4j2のバージョンってかなり最近じゃなかったっけ
56 21/12/10(金)23:04:13 No.875058735
>java有料化! >有料化解除! 9月の出来事…妙だな
57 21/12/10(金)23:04:38 No.875058876
PaypayとかもJava使ってるらしいけどなんかやばいの? ていうどう対策すればいいの?
58 21/12/10(金)23:04:45 No.875058934
1用のパッチでてくれると確かにありがたいな~~(サポート終了)
59 21/12/10(金)23:04:53 No.875058991
>>ブラウザがjavaで動いてないならいいんじゃない?ってレスもあったし 個人の被害を心配してる人が多いから…
60 21/12/10(金)23:04:55 No.875058999
何でわざわざclassロードして実行するコード実装してるの… バックドアとしか思えない
61 21/12/10(金)23:05:10 No.875059094
>1用のパッチが緊急で出るパターンかな… そもそもそんな古いのって最悪放置されてるからな…
62 21/12/10(金)23:05:18 No.875059143
>>対応してる人たちはこんなとこ見る余裕ないし何を語るんだ >とりあえず下に調査と作業投げて上の人に連絡取ろうとはしてるんだけど捕まらないし中間管理職にそれ以上はできないから待機しながらちょくちょく下の対応するぐらいしかないんだ… まんじりともしないタイムだな… 同病相憐れむ
63 21/12/10(金)23:05:21 No.875059178
try-catchしてエラー出たのにそのまま進めてんの…?
64 21/12/10(金)23:05:24 No.875059202
うちのサーバはそもそもjavaランタイム入ってないから大丈夫だけど念の為に来週全機能チェックするかんな! って上司からメールが5分前に届いた…助けて
65 21/12/10(金)23:05:26 No.875059215
最近減っただろうけどAtlassian製品を運用してる「」は軒並みアウトなので 覚悟しておいてください
66 21/12/10(金)23:05:30 No.875059244
>PaypayとかもJava使ってるらしいけどなんかやばいの? >ていうどう対策すればいいの? 全ての情報が漏洩したことを前提にPW変えるなり多要素認証するなりしたら?
67 21/12/10(金)23:05:34 No.875059264
>>Javaやlog4j2が古くなければ可能性は低いらしいので >これが起きないlog4j2のバージョンってかなり最近じゃなかったっけ 今日リリース!
68 21/12/10(金)23:05:40 No.875059303
>Javaやlog4j2が古くなければ可能性は低いらしいので >やられるとしたらちょっと古めのあんまり熱心に運用してなさそうなサービスとかかな 既に大手含めていろんなサーバで実行できたって情報聞いたけど…
69 21/12/10(金)23:05:51 No.875059378
ぬるぽ
70 21/12/10(金)23:05:57 No.875059416
IT業界に入ったらここの「」みたいに専門用語使いこなせるのかな
71 21/12/10(金)23:06:08 No.875059496
>ぬるぽ ガッ
72 21/12/10(金)23:06:10 No.875059511
>ぬるぽ ガッ
73 21/12/10(金)23:06:26 No.875059612
Steam入ってるだけでもだめなのかー
74 21/12/10(金)23:06:34 No.875059675
>IT業界に入ったらここの「」みたいに専門用語使いこなせるのかな インフラの人だったらさっぱりだと思うぞ
75 21/12/10(金)23:06:36 No.875059701
>try-catchしてエラー出たのにそのまま進めてんの…? 入力をキャッチしてエラーとしてログに出しつつ再入力させる画面に戻したりとか普通じゃない?
76 21/12/10(金)23:06:44 No.875059757
>対応してる人たちはこんなとこ見る余裕ないし何を語るんだ 楽しい花金タイム中の「」を恐怖のズンドコに落としたりできるかもしれない
77 21/12/10(金)23:06:53 No.875059811
>java有料化! >有料化解除! また無償化されてたの知らなかった… 正直今更な気がするけども
78 21/12/10(金)23:06:53 No.875059820
消費者レベルだとできることほとんどないよ サービスに紐づけてるカード情報片っ端から消してみるとかそのくらい?
79 21/12/10(金)23:06:56 No.875059841
コード変えなくてもlog4j差し替えたらいける?
80 21/12/10(金)23:07:13 No.875059971
>>1用のパッチが緊急で出るパターンかな… >そもそもそんな古いのって最悪放置されてるからな… 今回のは流石にやべえのでやらんとあかんでしょ あとOSSだから有志のパッチ当てる手もある
81 21/12/10(金)23:07:23 No.875060058
変更しても今夜流出するかもしれんぞ 明日昼頃でいいんじゃね…?
82 21/12/10(金)23:07:30 No.875060101
>今日リリース! ごめんこれは間違いだった 今週だった
83 21/12/10(金)23:07:41 No.875060165
>>try-catchしてエラー出たのにそのまま進めてんの…? >入力をキャッチしてエラーとしてログに出しつつ再入力させる画面に戻したりとか普通じゃない? そりゃValidationの仕事でtry catchにさせる動作じゃないと思う…
84 21/12/10(金)23:07:42 No.875060168
>IT業界に入ったらここの「」みたいに専門用語使いこなせるのかな プログラマーやってるけど「」の言ってることさっぱりわかんないよ
85 21/12/10(金)23:07:45 No.875060185
>最近減っただろうけどAtlassian製品を運用してる「」は軒並みアウトなので Sourcetreeくらいしか使ってなくてよかった
86 21/12/10(金)23:07:45 No.875060189
>サービスに紐づけてるカード情報片っ端から消してみるとかそのくらい? マイクラのサーバーを破壊しておく
87 21/12/10(金)23:07:47 No.875060206
>あとOSSだから有志のパッチ当てる手もある 有志のパッチ当てるための評価と承認はいつ降りるかな^^
88 21/12/10(金)23:07:49 No.875060224
>lookup(text) { > try { > check(text); > ... > } catch ... { > // it's ok! ← けおおお > } > return it_is_ok_and_exec(text); >} >だいたいこんなコードらしい 握りつぶしても動くからヨシ!しちゃったのか…
89 21/12/10(金)23:07:53 No.875060258
>コード変えなくてもlog4j差し替えたらいける? 影響調査とテストよろしくね
90 21/12/10(金)23:07:58 No.875060294
>コード変えなくてもlog4j差し替えたらいける? バージョン上がって仕様がちょっと変わったから元のコードは直してね! ってのは当たり前のようにあるから残念ながら
91 21/12/10(金)23:08:04 No.875060319
修正版ではcatch節に return null; が追加されてましたわ いま作業中の人はキレていいと思う
92 21/12/10(金)23:08:30 No.875060481
>修正版ではcatch節に return null; が追加されてましたわ >いま作業中の人はキレていいと思う 俺と同じレベルの修正してんな
93 21/12/10(金)23:08:35 No.875060517
JNDIってLDAPやADみたいなディレクトリサービスのインタフェースじゃなかったっけと思ったら JDBCの裏でも動いてるそうで知らなかった あとLDAPサーバのレスポンスからリモートのクラスファイル読み込んでロードする機能本気で謎
94 21/12/10(金)23:08:50 No.875060626
>コード変えなくてもlog4j差し替えたらいける? CとかC++だとAPIのoverrideは環境変数レベルだけどJAVAはどうなんです?
95 21/12/10(金)23:09:00 No.875060700
>>修正版ではcatch節に return null; が追加されてましたわ >>いま作業中の人はキレていいと思う えぇ… >俺と同じレベルの修正してんな えぇ…
96 21/12/10(金)23:09:11 No.875060791
>修正版ではcatch節に return null; が追加されてましたわ 世界的に使われてるものでもそのレベルの修正なんだなってちょっと親近感覚える
97 21/12/10(金)23:09:14 No.875060812
任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった
98 21/12/10(金)23:09:21 No.875060869
安易に修正版あてたらガッされるシステム続発しちゃうのか
99 21/12/10(金)23:09:24 No.875060893
classロードするとかやりたい放題じゃん
100 21/12/10(金)23:09:30 No.875060947
>JNDIってLDAPやADみたいなディレクトリサービスのインタフェースじゃなかったっけと思ったら >JDBCの裏でも動いてるそうで知らなかった 勉強になるな…
101 21/12/10(金)23:09:31 No.875060954
>CとかC++だとAPIのoverrideは環境変数レベルだけどJAVAはどうなんです? なんとlog4jはver2になってファイル名すら変わったので参照先まで変わるんですねー!
102 21/12/10(金)23:09:35 No.875060982
>修正版ではcatch節に return null; が追加されてましたわ >いま作業中の人はキレていいと思う やったぜ シスベシ
103 21/12/10(金)23:09:41 No.875061021
折角だからお勉強教えて大先生 log4j経由で任意のLDAPサーバにアクセスできる LDAPディレクトリに悪意のあるコード配置しとけばやりたい放題 ってこと? log4j使ってて任意の文字列書き込めるアプリケーションならならなんでもいいの?
104 21/12/10(金)23:09:47 No.875061056
steam終了しといた方がいい?
105 21/12/10(金)23:09:48 No.875061060
これ依存で入れてるだけのとかアプデきつそう
106 21/12/10(金)23:09:53 No.875061106
>任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった アップデートして回るコードで巡回すりゃいいのか… うーん…
107 21/12/10(金)23:10:03 No.875061184
>世界的に使われてるものでもそのレベルの修正なんだなってちょっと親近感覚える javaはそういうとこある
108 21/12/10(金)23:10:22 No.875061326
>任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった 実際そういうハッカー集団昔いた気がする
109 21/12/10(金)23:10:32 No.875061410
>LDAPディレクトリに悪意のあるコード配置しとけばやりたい放題 URLで外部に置いてあるやつ指定できる もちろん自分で作って適当なところにおけば
110 21/12/10(金)23:10:34 No.875061425
>CとかC++だとAPIのoverrideは環境変数レベル これの意味がよくわからない
111 21/12/10(金)23:10:53 No.875061570
>任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった あなたが寝てる間に意図しないアップデートしておきましたみたいなネットの妖精さんムーブができるのか…
112 21/12/10(金)23:10:57 No.875061592
Javaでwebアプリつくる勉強中だけどlog4jとやらを使ってなければいいの?
113 21/12/10(金)23:11:08 No.875061673
>あなたが寝てる間に意図しないアップデートしておきましたみたいなネットの妖精さんムーブができるのか… 発生するシステム障害
114 21/12/10(金)23:11:11 No.875061701
>>任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった >アップデートして回るコードで巡回すりゃいいのか… >うーん… 責任問題とか一切考えなきゃアリだろうがさぁ!
115 21/12/10(金)23:11:12 No.875061706
>Javaでwebアプリつくる勉強中だけどlog4jとやらを使ってなければいいの? うん
116 21/12/10(金)23:11:13 No.875061713
今みずほ銀行は新機能の開発や導入を金融庁に禁止されてるけど これは別件だから超緊急で調べてるんだろうな いろんなベンダーのいろんなミドルウェアが山程入っているだろうから大変そう
117 21/12/10(金)23:11:22 No.875061795
webサイト見てて仕込まれたもの食らったりしないか心配
118 21/12/10(金)23:11:31 No.875061863
>Javaでwebアプリつくる勉強中だけどlog4jとやらを使ってなければいいの? まあそうだけど大体のライブラリでも使われてるから…
119 21/12/10(金)23:11:36 No.875061896
>log4j使ってて任意の文字列書き込めるアプリケーションならならなんでもいいの? URLとリクエストヘッダは大抵ログとってるから入力欄゜なくても攻撃できるよ
120 21/12/10(金)23:11:45 No.875061961
>あなたが寝てる間に意図しないアップデートしておきましたみたいなネットの妖精さんムーブができるのか… (トップ画面がブルマ女将になってる)
121 21/12/10(金)23:12:02 No.875062085
>>CとかC++だとAPIのoverrideは環境変数レベル >これの意味がよくわからない LD_LIBRARY_PATH
122 21/12/10(金)23:12:03 No.875062100
パッチ当ててもコレ使われてサーバーにバックドア仕掛けられてないかのチェックもしなきゃいかんのか…
123 21/12/10(金)23:12:09 No.875062140
金融系のシステムが許可のない外部サイトへのアクセスできてたら問題な気がするけどどうなんだろうね
124 21/12/10(金)23:12:20 No.875062235
オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 なはずじゃなかったんですか!
125 21/12/10(金)23:12:26 No.875062268
>コード変えなくてもlog4j差し替えたらいける? deprecatedなメソッド使ってて差し替え後はコンパイルエラーとか有るかもしれない
126 21/12/10(金)23:12:29 No.875062287
>Javaでwebアプリつくる勉強中だけどlog4jとやらを使ってなければいいの? うん もちろん構築に使うフレームワークやサードパーティライブラリやアプリケーション全てがlog4j使ってなければ
127 21/12/10(金)23:12:42 No.875062371
社内システムなので帰社させていただく
128 21/12/10(金)23:12:43 No.875062381
そういや今は大手サイトでもウイルス仕込まれてる可能性高いな…
129 21/12/10(金)23:12:45 No.875062396
とりあえずUser-Agentに変な文字列仕込んでアクセスしてみようかな
130 21/12/10(金)23:12:56 No.875062486
>log4j経由で任意のLDAPサーバにアクセスできる >LDAPディレクトリに悪意のあるコード配置しとけばやりたい放題 >ってこと? LDAPのレスポンスに任意のクラスファイルへのURLを返すとダウンロードしてロードしてくれる >log4j使ってて任意の文字列書き込めるアプリケーションならならなんでもいいの? 今書かれてる情報を見る限りそう
131 21/12/10(金)23:12:57 No.875062506
・log4jを利用している ・外部からの入力をそのままログに出力している ・外部からのアクセスを特に制限していない ・外部へのアクセスを特に制限していない これらが組み合わさるとヤバい
132 21/12/10(金)23:12:58 No.875062513
>>任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった >あなたが寝てる間に意図しないアップデートしておきましたみたいなネットの妖精さんムーブができるのか… 分散型バージョン管理できた!
133 21/12/10(金)23:13:01 No.875062531
マインクラフトのチャット欄になんて入力したらリモート入力できるようになるの?
134 21/12/10(金)23:13:04 No.875062555
log4jってめっちゃ使われてるやつじゃん… 影響範囲調査とか考えたくない
135 21/12/10(金)23:13:05 No.875062563
>オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 >なはずじゃなかったんですか! 誰もコードを読んでなかったのである!
136 21/12/10(金)23:13:11 No.875062600
javaで構築してログ周りをlog4jに頼らないのは結構な変態だけだろうからなあ
137 21/12/10(金)23:13:15 No.875062634
アプリ外部委託して作った企業とかlog4jあるかどうかも分からんとこありそうな そして土日へ…
138 21/12/10(金)23:13:22 No.875062679
>任意コード実行できるのでアップデートも勝手にできるのでは?という意見に笑ってしまった 昔の宇宙船のシステムソフトウェアかよ…
139 21/12/10(金)23:13:24 No.875062691
>うん >もちろん構築に使うフレームワークやサードパーティライブラリやアプリケーション全てがlog4j使ってなければ サーブレットとjspでシコシコつくってるよ! ふれーむわーく?らいぶらり?ってレベルだよ!
140 21/12/10(金)23:13:30 No.875062744
java分かんないけどphpで言うmonologみたいに他のライブラリとかでも当たり前に使われてるやつでやべーのが見つかったってこと?
141 21/12/10(金)23:13:34 No.875062773
>LDAPのレスポンスに任意のクラスファイルへのURLを返すとダウンロードしてロードしてくれる 面白すぎる…
142 21/12/10(金)23:13:42 No.875062832
>ダウンロードしてロードしてくれる おかしいだろ…!
143 21/12/10(金)23:13:59 No.875062951
>アプリ外部委託して作った企業とかlog4jあるかどうかも分からんとこありそうな >そして土日へ… 月曜日までで大丈夫です
144 21/12/10(金)23:14:08 No.875063014
>オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 >なはずじゃなかったんですか! オープンソースの利点はこういうことがあったらこういう風に危険!って情報が出回ることだ
145 21/12/10(金)23:14:09 No.875063020
>java分かんないけどphpで言うmonologみたいに他のライブラリとかでも当たり前に使われてるやつでやべーのが見つかったってこと? そういうことだね
146 21/12/10(金)23:14:20 No.875063100
クラスの実行って超やばくない…? なんでも仕込めるじゃん
147 21/12/10(金)23:14:25 No.875063137
昔から使われてるやつだと今更わざわざコード読む人いないもんな…
148 21/12/10(金)23:14:30 No.875063168
>とりあえずUser-Agentに変な文字列仕込んでアクセスしてみようかな 00年代の頃の緩い感覚で悪戯仕掛けるのはマジでやめといた方がいいぞ
149 21/12/10(金)23:14:39 No.875063216
>>ダウンロードしてロードしてくれる >おかしいだろ…! マジで何を想定したものなのか謎すぎる…
150 21/12/10(金)23:14:39 No.875063217
>・外部へのアクセスを特に制限していない これも必要あるの?
151 21/12/10(金)23:14:41 No.875063229
>javaで構築してログ周りをlog4jに頼らないのは結構な変態だけだろうからなあ どうしてみんな標準のjava.loggingを使わないんですか…
152 21/12/10(金)23:14:42 No.875063248
>社内システムなので帰社させていただく ヒで噂になってたのでシステムがちゃんと対応してるかテストさせてもらいました^^
153 21/12/10(金)23:14:43 No.875063262
すみません私はこの分野に関しては素人なのでつまらない質問で恐縮なのですが FWやネットワークセキュリティレベルで外部への不審なクラスロード通信がブロックされれば安全でしょうか? 外部から攻撃文字列の入力を受け付けている時点でそのような通信を防ぐことは不可能でしょうか?
154 21/12/10(金)23:14:49 No.875063295
昔誰かがログにLDAP文字列来たら勝手にクラスロードして実行できたら便利じゃない?ドメインのチェック?なにそれ?って実装が誰も使わないので今の今まで残ってしまった
155 21/12/10(金)23:15:16 No.875063497
>これも必要あるの? ある それこそ内部→外部へのアクセスを全遮断してれば実害はない
156 21/12/10(金)23:15:20 No.875063532
>>オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 >>なはずじゃなかったんですか! >誰もコードを読んでなかったのである! (誰かがコードレビューしてるだろ…)
157 21/12/10(金)23:15:26 No.875063576
8年ぐらい放置されてたって見た気がするけど大変なことじゃない?
158 21/12/10(金)23:15:29 No.875063594
>とりあえずUser-Agentに変な文字列仕込んでアクセスしてみようかな ログからIPアドレス照会されて訴状届いても文句言えねーぞ
159 21/12/10(金)23:15:49 No.875063733
>昔から使われてるやつだと今更わざわざコード読む人いないもんな… ubuntu使ってるとたまにbashのセキュリティアップデート来てびっくりしていいよねよくない
160 21/12/10(金)23:15:55 No.875063771
>>>ダウンロードしてロードしてくれる >>おかしいだろ…! >マジで何を想定したものなのか謎すぎる… どっからダウンロードしてくるつもりなの
161 21/12/10(金)23:15:59 No.875063805
OSSは安心なんてことは別にないだろ!
162 21/12/10(金)23:16:12 No.875063904
>>>オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 >>>なはずじゃなかったんですか! >>誰もコードを読んでなかったのである! >(誰かがコードレビューしてるだろ…) やはり人間はダメロボね
163 21/12/10(金)23:16:13 No.875063910
コードレビューとかしないんだな…
164 21/12/10(金)23:16:13 No.875063911
外部公開は外部委託してて良かった… おらっ!月曜日までに調査しろや!
165 21/12/10(金)23:16:17 No.875063942
>8年ぐらい放置されてたって見た気がするけど大変なことじゃない? 本当に今まで誰も悪用してなかったのかな
166 21/12/10(金)23:16:17 No.875063946
自分でバリデーションとか漏れがあるに決まってるからライブラリに任せるのがクレバーじゃなかったんですか…?
167 21/12/10(金)23:16:19 No.875063962
>FWやネットワークセキュリティレベルで外部への不審なクラスロード通信がブロックされれば安全でしょうか? これで行けると思うけどだめなんだろうか
168 21/12/10(金)23:16:40 No.875064091
>>javaで構築してログ周りをlog4jに頼らないのは結構な変態だけだろうからなあ >どうしてみんな標準のjava.loggingを使わないんですか… 曖昧な記憶だとlog4jがデファクト取った後に出てきたんだった様な
169 21/12/10(金)23:16:55 No.875064174
誰かがソースコード読んで脆弱性見つけてくれるだろうでOSS使ってる人がほとんどだろうしな…
170 21/12/10(金)23:17:01 No.875064213
>FWやネットワークセキュリティレベルで外部への不審なクラスロード通信がブロックされれば安全でしょうか? >外部から攻撃文字列の入力を受け付けている時点でそのような通信を防ぐことは不可能でしょうか? log4jへ外部LDAPへのURLを仕込む通信と 仕込まれたURLをベースに外部へ向かう通信は 別セッションなので外部向け通信をきっちり制限してれば大丈夫だよ
171 21/12/10(金)23:17:09 No.875064275
>修正版ではcatch節に return null; が追加されてましたわ やはりOracleは悪… MySqlを…潰す…!
172 21/12/10(金)23:17:16 No.875064325
>>>>ダウンロードしてロードしてくれる >>>おかしいだろ…! >>マジで何を想定したものなのか謎すぎる… >どっからダウンロードしてくるつもりなの COMという00年代にMSが流行らせた概念が…
173 21/12/10(金)23:17:17 No.875064330
オプションでoffにできるけどそのオプションが機能してないっぽい
174 21/12/10(金)23:17:20 No.875064347
>>>オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 >>>なはずじゃなかったんですか! >>誰もコードを読んでなかったのである! >(誰かがコードレビューしてるだろ…) (これだけ皆が使ってるんだから安全だろ…)
175 21/12/10(金)23:17:41 No.875064470
>FWやネットワークセキュリティレベルで外部への不審なクラスロード通信がブロックされれば安全でしょうか? 一応クラウドフレア様がWAFで防げると言ってる https://blog.cloudflare.com/cve-2021-44228-log4j-rce-0-day-mitigation/ >外部から攻撃文字列の入力を受け付けている時点でそのような通信を防ぐことは不可能でしょうか? ログに外部文字列一切入れないとログの意味がないので実質そう
176 21/12/10(金)23:17:53 No.875064561
>自分でバリデーションとか漏れがあるに決まってるからライブラリに任せるのがクレバーじゃなかったんですか…? おもったより くればーじゃないひとが つくってた
177 21/12/10(金)23:17:57 No.875064587
アリババの技術者以外誰もソース読んでなかったって酷いじゃないですか
178 21/12/10(金)23:17:57 No.875064588
OSSってOaSiSuだったんだな…
179 21/12/10(金)23:18:02 No.875064623
>>8年ぐらい放置されてたって見た気がするけど大変なことじゃない? >本当に今まで誰も悪用してなかったのかな そんなわけがない 悪用コードなんてとっくに裏では出回ってたはず
180 21/12/10(金)23:18:16 No.875064730
世界中の人達皆で赤信号渡ってたら全車線にトラック突っ込んできたようなもんか
181 21/12/10(金)23:18:26 No.875064792
LDAP以外でもできちゃうらしいしLDAPにしてもポート絶対にこれってできないしで外部への不審なクラスロード通信というのが特定できないのでは
182 21/12/10(金)23:18:27 No.875064798
>みたいな「」もいるよね まあlocal exploitとremote exploitの区別もつかない人も多いから local exploit突かれてる時点で実行しちゃいけないの実行してるぞっていう
183 21/12/10(金)23:18:31 No.875064822
アクセス先のURLも含めて何もログに残さないって方針だったら安全
184 21/12/10(金)23:18:34 No.875064835
>FWやネットワークセキュリティレベルで外部への不審なクラスロード通信がブロックされれば安全でしょうか? 上で書いてあるのそのまま信じるなら通信はサーバーがファイルダウンロードしてるだけだからそれに関するブロックしてるなら安全かな? >外部から攻撃文字列の入力を受け付けている時点でそのような通信を防ぐことは不可能でしょうか? URLとかuser-agentに書いてもできるからそれをログに出力しないなんて普通あんまりしないから外部との通信を遮断してない限りは不可能
185 21/12/10(金)23:18:43 No.875064894
>オープンソースだから世界中の優秀なJavaエンジニアがチェックしてて安心 >なはずじゃなかったんですか! 時々脆弱性あったよ!してるのを企業が黙れよ…してるときがある しばらくしてバレる
186 21/12/10(金)23:18:43 No.875064896
>(誰かがコードレビューしてるだろ…) LooksGoodToMe
187 21/12/10(金)23:18:50 No.875064945
突然こんなの暴露するわけないし 裏の世界じゃどうしようもないほど有名になったから公開したんだと思う…
188 21/12/10(金)23:18:51 No.875064951
>アクセス先のURLも含めて何もログに残さないって方針だったら安全 ログ ログってなんだ
189 21/12/10(金)23:19:22 No.875065186
>OSSってOaSiSuだったんだな… まあ言ってみればある程度地頭ある「」が寄ってたかって虹裏ブラウザつくった!みんな使っていいよ! 穴?多分他の「」がなんとかしてくれるぜ! みたいなもんだからな
190 21/12/10(金)23:19:23 No.875065189
>>アクセス先のURLも含めて何もログに残さないって方針だったら安全 >ログ >ログってなんだ 哲学みたいになってきたな…
191 21/12/10(金)23:19:30 No.875065246
それで1ユーザーに対策できることあるんです?
192 21/12/10(金)23:19:30 No.875065248
俺のログには何も残ってないが?をやってしまったのか…
193 21/12/10(金)23:20:00 No.875065436
>俺のログには何も残ってないが?をやってしまったのか… 俺また何かやっちゃいましたか?
194 21/12/10(金)23:20:06 No.875065488
>それで1ユーザーに対策できることあるんです? 祈る
195 21/12/10(金)23:20:22 No.875065592
>それで1ユーザーに対策できることあるんです? 二段階認証にしとく できないサイトは諦める
196 21/12/10(金)23:20:26 No.875065621
>それで1ユーザーに対策できることあるんです? 寝る 自前でサーバ立ててる人は頑張れ
197 21/12/10(金)23:20:36 No.875065685
>それで1ユーザーに対策できることあるんです? 対応してるエンジニアさん達に感謝を!
198 21/12/10(金)23:20:42 No.875065728
>LDAP以外でもできちゃうらしいしLDAPにしてもポート絶対にこれってできないしで外部への不審なクラスロード通信というのが特定できないのでは これが本当ならかなり厳しいな
199 21/12/10(金)23:20:45 No.875065745
明日ウェブサイトのアクセスログ確認したらUserAgentにその文字わらわらしてそう…
200 21/12/10(金)23:20:49 No.875065761
自前サーバー建ててるならシャットアウト それ以外の人は神に祈って紅茶でも飲む
201 21/12/10(金)23:20:52 No.875065791
大丈夫大丈夫 攻撃されなきゃ大丈夫
202 21/12/10(金)23:20:53 No.875065800
あんまり詳しく見れてないけどちら読みした限りldapだけじゃなくてrmiとかでもいけそうに見える
203 21/12/10(金)23:21:04 No.875065858
そろそろ治った?
204 21/12/10(金)23:21:14 No.875065915
>それで1ユーザーに対策できることあるんです? 使ってるサービスが該当してないか してたら対応急いでくれるのを寝ながら待つ
205 21/12/10(金)23:21:28 No.875066014
検索避けみたいな出力文字切りして任意コードを切断するみたいな…
206 21/12/10(金)23:21:29 No.875066026
>そろそろ治った? 今朝9時のアメリカ人がなんとかしてくれるさ
207 21/12/10(金)23:21:32 No.875066045
これ露見したのがLDAPがわかりやすいだけで他も絶対似たような穴ありますよね?
208 21/12/10(金)23:21:41 No.875066105
いまの時点で二段階認証を慌てて設定しても サイトそのものが書き換えられてパスワードどっかに送るようになってたりしない?
209 21/12/10(金)23:21:49 No.875066152
よく今まで無事だったね
210 21/12/10(金)23:21:49 No.875066153
>そろそろ治った? 治さないと治りません
211 21/12/10(金)23:21:54 No.875066192
LDAPサーバーって別にデフォ以外のポートでも立てられるから単純なFWだと回避されるんじゃない? もっと上のレイヤで遮断できるWAFみたいなのでやる必要があるんじゃないだろうか
212 21/12/10(金)23:22:01 No.875066244
>これ露見したのがLDAPがわかりやすいだけで他も絶対似たような穴ありますよね? HTTPとかもOKだったらガチアウトっすね…
213 21/12/10(金)23:22:04 No.875066258
>それ以外の人は神に祈って紅茶でも飲む この時間に紅茶飲んだら寝れないよ ホットミルクにしなさい
214 21/12/10(金)23:22:19 No.875066362
>よく今まで無事だったね 本当に無事だったのかなぁ?
215 21/12/10(金)23:22:32 No.875066435
社内の別のチームは関係ありそうだけど自分ほ無関係ゾーンだから…社内チャットは休日は見ない
216 21/12/10(金)23:22:47 No.875066537
>よく今まで無事だったね さて本当に無事だったのかな?…フフフ
217 21/12/10(金)23:22:53 No.875066568
>もっと上のレイヤで遮断できるWAFみたいなのでやる必要があるんじゃないだろうか WAFもさぁ インバウンド通信は見るだろうけどアウトバウンド通信は見てるかってのも気になる
218 21/12/10(金)23:23:03 No.875066637
プログラムが放っておいて勝手に治るわけがない…!
219 21/12/10(金)23:23:10 No.875066679
マジで何のための実装だったんだ そして何でデフォルトで実行するんだ
220 21/12/10(金)23:23:19 No.875066738
>HTTPとかもOKだったらガチアウトっすね… HTTPヘッダをログに回してる系だとガチでダメだな…
221 21/12/10(金)23:23:19 No.875066740
必ずログが残るからこの方法でクラッキングされたら分かるってあったけど 痕跡消す方法は本当に無かったんだろうか…
222 21/12/10(金)23:23:37 No.875066855
自分の案件でjavaはないので高みの見物をしておきたい
223 21/12/10(金)23:23:41 No.875066877
>本当に無事だったのかなぁ? クラッカーもみんな読んでないのである!
224 21/12/10(金)23:24:01 No.875066987
JavaはこういうときもOKOKバグパレードに載せておいてくれみたいなノリだから腹が立つ
225 21/12/10(金)23:24:07 No.875067034
よくわからないんだけど任意コード実行はLDAPからコードを持ってきて実行しちゃう仕組みが原因であってほかのプロトコルだと害はないのでは?
226 21/12/10(金)23:24:07 No.875067041
任意のクラス実行できるなら痕跡のログ消すこともできるんじゃないかな…
227 21/12/10(金)23:24:08 No.875067049
>マジで何のための実装だったんだ おそらくログのテキストにLDAPサーバーから引っ張ったエントリを使えると便利な場面あるんじゃない?っていう発想 >そして何でデフォルトで実行するんだ 多分仕様の考慮漏れ
228 21/12/10(金)23:24:09 No.875067053
>いまの時点で二段階認証を慌てて設定しても >サイトそのものが書き換えられてパスワードどっかに送るようになってたりしない? パスワード抜かれても大丈夫なように2段階認証にするんやろがい! ワンタイムパスワードがどっかに送るようになってたらアウトだけど
229 21/12/10(金)23:24:15 No.875067098
>必ずログが残るからこの方法でクラッキングされたら分かるってあったけど >痕跡消す方法は本当に無かったんだろうか… 入った後消す 基礎の基礎だな
230 21/12/10(金)23:24:15 No.875067101
とりあえず俺の銀口座残金10億に書き換えといてくれねえかな
231 21/12/10(金)23:24:20 No.875067148
>あんまり詳しく見れてないけどちら読みした限りldapだけじゃなくてrmiとかでもいけそうに見える ヒで検索かけたらいけるらしい
232 21/12/10(金)23:24:25 No.875067187
ドラえもんで例えてと聞かれてどこでもバックドアとか言われてて本当に酷いなと思った
233 21/12/10(金)23:24:25 No.875067190
>>HTTPとかもOKだったらガチアウトっすね… >HTTPヘッダをログに回してる系だとガチでダメだな… いや、そっちじゃなくて外部のクラスファイルのDLがさ
234 21/12/10(金)23:24:26 No.875067195
マイクラやってるやつに阿部寛のホームページを見せつけられる みたいな支離滅裂なことが素人でもできるやつだから死ぬほどヤバい 月曜に出勤したくねぇ~
235 21/12/10(金)23:24:29 No.875067214
まあログに残ることで発動する悪事だからそりゃログには残るわな…
236 21/12/10(金)23:24:30 No.875067218
>よくわからないんだけど任意コード実行はLDAPからコードを持ってきて実行しちゃう仕組みが原因であってほかのプロトコルだと害はないのでは? なんかもう一個あったはず
237 21/12/10(金)23:24:48 No.875067339
>>これ露見したのがLDAPがわかりやすいだけで他も絶対似たような穴ありますよね? >HTTPとかもOKだったらガチアウトっすね… うふふふふウケる
238 21/12/10(金)23:24:52 No.875067371
>任意のクラス実行できるなら痕跡のログ消すこともできるんじゃないかな… クラスがロード出来れば出来ないことのほうが少ない気がする
239 21/12/10(金)23:25:09 No.875067491
>よくわからないんだけど任意コード実行はLDAPからコードを持ってきて実行しちゃう仕組みが原因であってほかのプロトコルだと害はないのでは? やろうと思えばjavaのソースコードを直接入力してlog4jに吐き出させて実行することもできるんじゃね
240 21/12/10(金)23:25:15 No.875067532
>よくわからないんだけど任意コード実行はLDAPからコードを持ってきて実行しちゃう仕組みが原因であってほかのプロトコルだと害はないのでは? 果たしてLDAPだけなのか?がまだハッキリしてないからなんとも あとLDAPは任意のポートで実行できるから
241 21/12/10(金)23:25:18 No.875067561
コード読んでバグ探すよりサービスで色々試してみて脆弱性発見するほうが簡単な気がするから 案外今まで気づかれてなかったってのはありそう
242 21/12/10(金)23:25:29 No.875067639
じゃこれ知ってたら該当サーバー内で好き勝手情報見てログ消してサヨナラ出来てた可能性…?
243 21/12/10(金)23:25:32 No.875067660
>任意のクラス実行できるなら痕跡のログ消すこともできるんじゃないかな… 不可能ではないと思うけど サーバーで任意のコード実行できてもそっからネットワーク機器のログ消しに行くのはかなりハードル上がる気がする
244 21/12/10(金)23:25:38 No.875067700
>果たしてLDAPだけなのか?がまだハッキリしてないからなんとも 怖すぎる…
245 21/12/10(金)23:25:39 No.875067704
今のご時世はログ改ざん検知とかも大体入ってるのでまあ 改ざん検知もすり抜けてくるやつは知らん
246 21/12/10(金)23:26:02 No.875067841
阿部寛のときだけ許可しよう
247 21/12/10(金)23:26:02 No.875067845
とりまヘッダとペイロードみれば何とかなるっしょ
248 21/12/10(金)23:26:21 No.875067967
>やろうと思えばjavaのソースコードを直接入力してlog4jに吐き出させて実行することもできるんじゃね それは流石に 単なるテキストだからなー結局 今回は特定のテキストがlog4jで勝手に解釈しちゃうって言うのが
249 21/12/10(金)23:26:25 No.875067999
>コード読んでバグ探すよりサービスで色々試してみて脆弱性発見するほうが簡単な気がするから >案外今まで気づかれてなかったってのはありそう 実際使ってここおかしいんですけお!ってなって見つかる方が多いよなあ…
250 21/12/10(金)23:27:06 No.875068280
>じゃこれ知ってたら該当サーバー内で好き勝手情報見てログ消してサヨナラ出来てた可能性…? それこそバックドア仕込まれてたら何でもできちゃうからねー
251 21/12/10(金)23:27:21 No.875068388
SaaS使ってるならとりあえずWAF当てれば応急処置になる
252 21/12/10(金)23:27:23 No.875068401
少し前にJavaどっぷりの現場から変わったから今年の運使い果たしたかもしれん
253 21/12/10(金)23:27:26 No.875068415
世界中のサーバを阿部寛のHPにすることも可能
254 21/12/10(金)23:28:23 No.875068777
サーバによっては情報漏洩どころではないのでは
255 21/12/10(金)23:28:25 No.875068795
よくわからんけどとりあえずLDAP通信を全部止めればいいんだろう?
256 21/12/10(金)23:28:30 No.875068832
たまにはこういうこともあるよねー
257 21/12/10(金)23:28:34 No.875068866
>>あんまり詳しく見れてないけどちら読みした限りldapだけじゃなくてrmiとかでもいけそうに見える >ヒで検索かけたらいけるらしい やっぱそうなんだ log4j経由でJNDI注入してlookupできちゃうのが問題ってことで良さそうに見える
258 21/12/10(金)23:28:39 No.875068902
if(なんか関数実行してエラーチェック) goto fail; goto fail; if(なんか関数実行してエラーチェック) goto fail; Appleでもパッと見大丈夫そうで{}付け忘れたから絶対failラベルに飛ぶミスあったけど 見落とすしなんでそこに飛んでるのかって飛び元がわからなくなる自信はある
259 21/12/10(金)23:28:54 No.875069018
よくわからんけど外部のディレクトリサービスに保存してある任意のソースコードをいくらでも実行可能になってるの?
260 21/12/10(金)23:28:58 No.875069036
>よくわからんけどとりあえずLDAP通信を全部止めればいいんだろう? 本当にインターネット壊すなよ!
261 21/12/10(金)23:29:01 No.875069059
web系の人なので全然わからん…
262 21/12/10(金)23:29:01 No.875069060
>もっと上のレイヤで遮断できるWAFみたいなのでやる必要があるんじゃないだろうか WAFにしてもURIだけじゃなくてUAだのなんだのでログ対象になりうるの全てとなるとな 現時点ではldap入ってる場合だけ弾ければいいとはいえ
263 21/12/10(金)23:29:53 No.875069352
マイクラMODはforgeが最新版しか対応しねえわって宣言したからもう終わりだ猫のワールド
264 21/12/10(金)23:30:00 No.875069406
>Jndi Lookupはネットワーク越しに変数に相当する値を検索することができる うn… >その中にLDAPも含まれる うn… >このURLを含めることによりlg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう なんで…?
265 21/12/10(金)23:30:01 No.875069421
>web系の人なので全然わからん… SEは自分の分野以外そんなもんだよね…
266 21/12/10(金)23:30:04 No.875069439
平均年収が高そうなスレだな
267 21/12/10(金)23:30:15 No.875069510
>log4j経由でJNDI注入してlookupできちゃうのが問題ってことで良さそうに見える そんなんDNS問い合わせすら・・・?
268 21/12/10(金)23:30:30 No.875069609
https://datatracker.ietf.org/doc/html/rfc2713 こんなの初めて知ったよ
269 21/12/10(金)23:30:55 No.875069767
>web系の人なので全然わからん… むしろweb系ど真ん中の話じゃね? フロントエンド側かな?
270 21/12/10(金)23:30:56 No.875069773
DDOSの威力ガッツリ上がるよなこれ テキトーに建てて忘れられてるサーバが簡単にbotにできるし
271 21/12/10(金)23:31:15 No.875069890
>そんなんDNS問い合わせすら・・・? 実際LDAPじゃなくてDNSでやるとコード実行はできないけど脆弱性対策済みかそうでないかの調査ができてしまうらしい
272 21/12/10(金)23:31:21 No.875069916
>web系の人なので全然わからん… Ruby on Railsとかがメインの「」はとりあえず高みの見物していいよ
273 21/12/10(金)23:31:25 No.875069948
>SEは自分の分野以外そんなもんだよね… 専門分野だって雰囲気でやってるみたいなとこなくもない
274 21/12/10(金)23:31:30 No.875069979
>>log4j経由でJNDI注入してlookupできちゃうのが問題ってことで良さそうに見える >そんなんDNS問い合わせすら・・・? はい https://twitter.com/shutingrz/status/1469255861394866177
275 21/12/10(金)23:31:35 No.875070004
これ下手したらコロナより影響デカいんじゃ?
276 21/12/10(金)23:31:38 No.875070020
多分心配のしすぎだけどとりあえず思い当たるWebアカウントで支払い情報からクレカ消しといた 多分心配のしすぎだけど
277 21/12/10(金)23:31:58 No.875070156
>これ下手したらコロナより影響デカいんじゃ? バカ?
278 21/12/10(金)23:32:06 No.875070215
>DDOSの威力ガッツリ上がるよなこれ >テキトーに建てて忘れられてるサーバが簡単にbotにできるし log4jを積み込んでるアプリケーションにたいして特定の鯖にアクセスするクラスをロードさせる?
279 21/12/10(金)23:32:07 No.875070222
>>web系の人なので全然わからん… >むしろweb系ど真ん中の話じゃね? インフラはそうなのかもね
280 21/12/10(金)23:32:22 No.875070301
Javaとか全部やめてPHPにすればええ!
281 21/12/10(金)23:32:50 No.875070477
>これ下手したらコロナより影響デカいんじゃ? PlagueIncで感染力ばかり強くして発症しないウィルスを浸透させた後に突然発症させるぐらいには
282 21/12/10(金)23:32:52 No.875070486
log4jの最新バージョン当てればいい(それもたいへんだけど)といいたいけど使ってるライブラリの中まで考えだすとどうしたらいいんですかね?
283 21/12/10(金)23:32:55 No.875070498
>>DDOSの威力ガッツリ上がるよなこれ >>テキトーに建てて忘れられてるサーバが簡単にbotにできるし >log4jを積み込んでるアプリケーションにたいして特定の鯖にアクセスするクラスをロードさせる? ついでに踏み台にできるサーバーの検索にも使おう!
284 21/12/10(金)23:33:04 No.875070563
>Javaとか全部やめてPHPにすればええ! じゃあマイグレーション全部「」君がやってね…
285 21/12/10(金)23:33:10 No.875070589
そもそも外部アクセスオールOKなんて商用サーバないだろ
286 21/12/10(金)23:33:14 No.875070613
メインフレームで稼働してる弊社システムは問題ありません
287 21/12/10(金)23:33:18 No.875070643
なんかiCloudにも脆弱性が発見されたとか聞いたけど俺の秘蔵の画像コレクションが見られちゃったりするのかな
288 21/12/10(金)23:33:35 No.875070733
>log4jの最新バージョン当てればいい(それもたいへんだけど)といいたいけど使ってるライブラリの中まで考えだすとどうしたらいいんですかね? アクセス遮断ですかね…
289 21/12/10(金)23:33:42 No.875070771
>そもそも外部アクセスオールOKなんて商用サーバないだろ でも全遮断のサーバも無いですよね…?
290 21/12/10(金)23:34:16 No.875070970
>なんかiCloudにも脆弱性が発見されたとか聞いたけど俺の秘蔵の画像コレクションが見られちゃったりするのかな 気軽にアカウント削除とかできるんじゃね?
291 21/12/10(金)23:34:47 No.875071138
>そもそも外部アクセスオールOKなんて商用サーバないだろ 嘘じゃないなら何個か成功報告あるんですけお…
292 21/12/10(金)23:34:50 No.875071163
FWのどこかに当たってくれ!!
293 21/12/10(金)23:34:50 No.875071166
>log4jの最新バージョン当てればいい(それもたいへんだけど)といいたいけど使ってるライブラリの中まで考えだすとどうしたらいいんですかね? 全部チェックする
294 21/12/10(金)23:35:10 No.875071285
>>そもそも外部アクセスオールOKなんて商用サーバないだろ >でも全遮断のサーバも無いですよね…? そもそもポートなんてhttp系とDB系しか開けなくね あとはsshもあるかもだけど
295 21/12/10(金)23:35:36 No.875071460
一応今のところ個人で建ててるマイクラ鯖とかがメインの話だな だが上司が許すかな?
296 21/12/10(金)23:35:53 No.875071561
前に見た会社のルーターのGUIがJava製だったんだけど これ攻撃文字列含んだリクエスト送られてたらそのGUIでログ見ようとした時に発動しちゃったりしない?
297 21/12/10(金)23:36:12 No.875071686
せっかく最近AWSの利用許してくれたうちのセキュリティ対策部がまた縛りきつくなりそうだ…
298 21/12/10(金)23:36:42 No.875071894
>そもそもポートなんてhttp系とDB系しか開けなくね >あとはsshもあるかもだけど でも外部認証サーバを使用するとしたら?
299 21/12/10(金)23:36:46 No.875071921
PHPとかこういう罠が至るところにあるイメージある 今時のフレームワークとか使えばそうじゃないんだろうけど
300 21/12/10(金)23:36:47 No.875071927
>そもそもポートなんてhttp系とDB系しか開けなくね >あとはsshもあるかもだけど それは内向きの通信の話では
301 21/12/10(金)23:37:06 No.875072030
>前に見た会社のルーターのGUIがJava製だったんだけど >これ攻撃文字列含んだリクエスト送られてたらそのGUIでログ見ようとした時に発動しちゃったりしない? はい
302 21/12/10(金)23:37:12 No.875072075
ランサムウェアとかどうやって入れたんだって思ってたけど こんな穴があるんなら簡単だよな…
303 21/12/10(金)23:37:23 No.875072147
>前に見た会社のルーターのGUIがJava製だったんだけど >これ攻撃文字列含んだリクエスト送られてたらそのGUIでログ見ようとした時に発動しちゃったりしない? よかったなGUI開いた瞬間阿部寛のホームページが出てくるぞ
304 21/12/10(金)23:37:34 No.875072215
>そもそもポートなんてhttp系とDB系しか開けなくね >あとはsshもあるかもだけど 世の中Webサーバだけじゃねぇんだ 当たり前にLDAPサーバとかあるんだ あと外部インタネ側にssh開ける奴はすくねぇわ
305 21/12/10(金)23:37:35 No.875072227
>それは内向きの通信の話では 外向けの通信ってプロキシ通すイメージ
306 21/12/10(金)23:37:37 No.875072236
>せっかく最近AWSの利用許してくれたうちのセキュリティ対策部がまた縛りきつくなりそうだ… 閉域網とかで何とか…
307 21/12/10(金)23:37:59 No.875072376
>専門分野だって雰囲気でやってるみたいなとこなくもない おっ先人が良い感じの残してんな コピペしよ
308 21/12/10(金)23:38:11 No.875072435
>あとはsshもあるかもだけど 無意味に外向きにあけてる担当者がいたらその場で斬首だよう
309 21/12/10(金)23:38:23 No.875072529
>外向けの通信ってプロキシ通すイメージ プロキシ通しても関係ないスけどね ホワイトリストとか通してるなら良いけど
310 21/12/10(金)23:38:25 No.875072540
>おっQiitaが良い感じの残してんな >コピペしよ
311 21/12/10(金)23:38:31 No.875072583
Log4j使ってるとこ全部にURLさにたいず?する処理挟むとかで何とかできませんかね?
312 21/12/10(金)23:38:45 No.875072644
>>おっQiitaが良い感じの残してんな >>コピペしよ 俺じゃねーか! やめろ!
313 21/12/10(金)23:38:54 No.875072698
>そもそも外部アクセスオールOKなんて商用サーバないだろ 最近はモジュールやコンポーネント取得に外部を気軽に使ってるから 商用でも入ってくるのは制限されてても出てくのは制限ゆるいのそれなりにありそう
314 21/12/10(金)23:39:07 No.875072767
>前に見た会社のルーターのGUIがJava製だったんだけど >これ攻撃文字列含んだリクエスト送られてたらそのGUIでログ見ようとした時に発動しちゃったりしない? Log4j 2の該当バージョン使ってれば発動する 別のロガー使ってればセーフ
315 21/12/10(金)23:39:07 No.875072768
デカすぎる上に仕込むのが簡単すぎる 過去最悪級の脆弱性なので ゼロデイでBOTが稼働しまくってる
316 21/12/10(金)23:39:15 No.875072794
log4net でよかった
317 21/12/10(金)23:39:17 No.875072806
>Log4j使ってるとこ全部にURLさにたいず?する処理挟むとかで何とかできませんかね? それむしろ回りくどくない…?そこまでできるならもう素直にバージョン上げろよってなる気がする
318 21/12/10(金)23:39:32 No.875072907
正規表現毎回ググってブログからコピペしてる俺はカスだよ
319 21/12/10(金)23:39:55 No.875073050
今回の場合入るの制限しててもライブラリログ取ってりゃアウトだし出ていく制限ゆるいとこが非常にヤバいのかな…?
320 21/12/10(金)23:40:15 No.875073195
せっかく月火に有給とって家族旅行計画してた上司カワウソ…と思いながら酒を片手に社内チャット眺めてる
321 21/12/10(金)23:40:48 No.875073381
自社なら対応すぐ出来るけど外部サービスでパスワードとか情報抜かれたとかあったら最悪すぎる…
322 21/12/10(金)23:40:48 No.875073387
全然詳しくなくて聞きたいんだけどGCPとかAWSのサービス内で雑に立ち上げてるLinuxのヘボ仮想PC鯖とかなら特にJava関連の何か入れてないなら問題はない?
323 21/12/10(金)23:40:49 No.875073390
>今回の場合入るの制限しててもライブラリログ取ってりゃアウトだし出ていく制限ゆるいとこが非常にヤバいのかな…? 非常にヤバいすね
324 21/12/10(金)23:41:04 No.875073490
>全然詳しくなくて聞きたいんだけどGCPとかAWSのサービス内で雑に立ち上げてるLinuxのヘボ仮想PC鯖とかなら特にJava関連の何か入れてないなら問題はない? 無い
325 21/12/10(金)23:41:06 No.875073509
外から内はリバースプロキシ内で無害化とか出来るんかね? 内から外はホワイトリスト以外をブロックするかWAFで何とか検出してブロックするか…
326 21/12/10(金)23:41:07 No.875073517
>せっかく月火に有給とって家族旅行計画してた上司カワウソ…と思いながら酒を片手に社内チャット眺めてる 遅くまでお仕事ご苦労様です
327 21/12/10(金)23:41:10 No.875073530
なんか…えらいことになってるな…って気分で見てるよ javaの知識は大学の授業でオセロゲーム作ったっきりだよ
328 21/12/10(金)23:41:10 No.875073533
いい調べ方を知ってるのがいいエンジニアだって先輩が言ってた
329 21/12/10(金)23:41:14 No.875073558
>Log4j使ってるとこ全部にURLさにたいず?する処理挟むとかで何とかできませんかね? ログにテキスト食わせる前に全部それするの超だるくないか…
330 21/12/10(金)23:41:23 No.875073611
バージョンアップスレいいだけじゃん
331 21/12/10(金)23:41:37 No.875073685
>正規表現毎回ググってブログからコピペしてる俺はカスだよ 俺のことをカスと言うのはやめろ
332 21/12/10(金)23:41:47 No.875073737
>遅くまでお仕事ご苦労様です 俺は在宅用PCで物見遊山気分でチャット眺めてるだけだから…
333 21/12/10(金)23:41:54 No.875073774
>前に見た会社のルーターのGUIがJava製だったんだけど >これ攻撃文字列含んだリクエスト送られてたらそのGUIでログ見ようとした時に発動しちゃったりしない? もう終わりだよ俺のルーター
334 21/12/10(金)23:42:00 No.875073811
>全然詳しくなくて聞きたいんだけどGCPとかAWSのサービス内で雑に立ち上げてるLinuxのヘボ仮想PC鯖とかなら特にJava関連の何か入れてないなら問題はない? ライブラリで使ってない自信あるなら放っておいていいよ
335 21/12/10(金)23:42:07 No.875073852
プログラミング言語のスレなんて珍しいと思ったらなんか大変なことになってんな 俺も今Javaの仕事してるけど影響でないといいな
336 21/12/10(金)23:42:09 No.875073861
>いい調べ方を知ってるのがいいエンジニアだって先輩が言ってた つまりlog4jライブラリで色々調べられるようにしたエンジニアはいいエンジニア
337 21/12/10(金)23:42:36 No.875074026
Javaを避けて生きてきたのが初めて役に立った
338 21/12/10(金)23:42:41 No.875074060
>外から内はリバースプロキシ内で無害化とか出来るんかね? でも悪意があるかをリバプロで判定なんて無理だと思うぞ 傍から見ると単なる文字列だしさ、URLなら単なるUserAgentだし それこそWAFとかIPSとかだな
339 21/12/10(金)23:42:45 No.875074081
>いい調べ方を知ってるのがいいエンジニアだって先輩が言ってた OK!公式document読むね! 理解できねー…
340 21/12/10(金)23:43:15 No.875074263
Javaって言葉だけを知ってる層が必要以上に騒いでる感はあるけど それはそれとして大分やばい
341 21/12/10(金)23:43:16 No.875074266
ボーナスの算定終わったあとに判明してよかったね!
342 21/12/10(金)23:43:17 No.875074270
>俺も今Javaの仕事してるけど影響でないといいな Javaの仕事してるのになんてそんなにお気楽なの…
343 21/12/10(金)23:43:19 No.875074284
>Javaを避けて生きてきたのが初めて役に立った すごい
344 21/12/10(金)23:43:23 No.875074305
もう終わりだ猫のlog4j
345 21/12/10(金)23:43:27 No.875074327
俺は正規表現に関してはカスではないつもりだが(正規表現エンジンすら書いたことがある) 否定先読みとか後読みとかの話になってくるとそもそもそれが何なのか自体を毎回思い出すためにググってる始末なので やっぱりカスなのかもしれない
346 21/12/10(金)23:43:30 No.875074349
>>いい調べ方を知ってるのがいいエンジニアだって先輩が言ってた >OK!公式document読むね! ブラウザに翻訳させるね! あーはいはいなるほどね! >理解できねー…
347 21/12/10(金)23:43:38 No.875074411
俺の仕事で利用するPHPは反面教師にしてヤバイの探して潰しておいてください お願いします
348 21/12/10(金)23:43:40 No.875074416
>OK!公式document読むね! >やりたい事書いてねー…
349 21/12/10(金)23:43:41 No.875074422
>Javaを避けて生きてきたのが初めて役に立った 最近山奥から降りてきたの?
350 21/12/10(金)23:44:13 No.875074616
もしかして手元のlog4jのバージョン上げても 他にlog4jに依存してるライブラリ使ってたら意味ないのでは?
351 21/12/10(金)23:44:15 No.875074627
今回の面白いとこはどこにつなぎに行くか自分で指定できるから ポート塞いだよ!程度で特に攻撃に影響ないとこだなあ
352 21/12/10(金)23:44:19 No.875074653
>ライブラリで使ってない自信あるなら放っておいていいよ 一応それっぽいの入ってないかだけ打ち込んで確認してくるね…
353 21/12/10(金)23:44:23 No.875074691
Javaは移植レイヤーしか触ってなくて助かった… いやもう動いてる環境は存在しないんだが
354 21/12/10(金)23:44:32 No.875074750
>他にlog4jに依存してるライブラリ使ってたら意味ないのでは? 左様
355 21/12/10(金)23:44:40 No.875074799
>もしかして手元のlog4jのバージョン上げても >他にlog4jに依存してるライブラリ使ってたら意味ないのでは? お気づきになられましたか
356 21/12/10(金)23:44:49 No.875074866
>他にlog4jに依存してるライブラリ使ってたら意味ないのでは? log4j内包してるモジュールなんてないだろ…
357 21/12/10(金)23:45:07 No.875074978
>もしかして手元のlog4jのバージョン上げても >他にlog4jに依存してるライブラリ使ってたら意味ないのでは? これだいぶ面倒だよね 知らんとこで動いてる可能性ある
358 21/12/10(金)23:45:30 No.875075108
>ブラウザに翻訳させるね! なんなら日本語で書いてあっても >理解できねー…
359 21/12/10(金)23:45:37 No.875075145
依存してるライブラリがアップデートに対応出来なかったらどうなるの
360 21/12/10(金)23:45:49 No.875075196
Log4Jを何とかするよりアウトバウンド通信を止める方が早いし 今無事なシステムのほとんどはそうしてたから無事なんだと思われる つまり我々アプリ班じゃなくてインフラ班の仕事です
361 21/12/10(金)23:46:01 No.875075261
※稀に公式ドキュメントが間違っている(もしくは情報が古い)
362 21/12/10(金)23:46:14 No.875075362
>>Javaを避けて生きてきたのが初めて役に立った >最近山奥から降りてきたの? C/C++, CUDA, C#, Fortran, Pythonあたりでおまんま食べてる
363 21/12/10(金)23:46:46 No.875075558
CiscoだとCSSMあたりがあたりかな だからスマートライセンスのゴリ押しはよせと言ったのだ…
364 21/12/10(金)23:46:52 No.875075592
>依存してるライブラリがアップデートに対応出来なかったらどうなるの 使うのをやめる
365 21/12/10(金)23:46:54 No.875075608
java使ってお仕事してる人って頭良い人しかできなさそう
366 21/12/10(金)23:46:55 No.875075615
javascriptとbashしか触ったことないけど元気に生きてます
367 21/12/10(金)23:46:58 No.875075633
>つまり我々アプリ班じゃなくてインフラ班の仕事です 応急処置と水際対策はそうだけど根本的な脆弱性の解決はお前らも関係あるだろ!!!
368 21/12/10(金)23:47:19 No.875075742
redius でも全部盛設定してると log4j 入るかなんかしらんが気を付けてみたいなこと書いてあるんですけおお
369 21/12/10(金)23:47:21 No.875075761
まとめサイトへの転載禁止
370 21/12/10(金)23:47:22 No.875075763
今回爆発した場所がJavaだっただけであって別にJavaは悪くないでしょ
371 21/12/10(金)23:47:35 No.875075843
>一応今のところ個人で建ててるマイクラ鯖とかがメインの話だな >だが上司が許すかな? マイクラの話が見た目が衝撃的で手っ取り早く分かるだけで テキストで脆弱性起こせるのマイクラとか全然メインの話じゃない…
372 21/12/10(金)23:47:45 No.875075912
>今回爆発した場所がJavaだっただけであって別にJavaは悪くないでしょ 悪いのはOracleだよね
373 21/12/10(金)23:48:04 No.875076013
悪あがきでもなんかこれだけはやっとけみたいな事ある?
374 21/12/10(金)23:48:06 No.875076026
>バージョンアップスレいいだけじゃん 個人で趣味でやってるレベルならそれで良いけどね…>>外から内はリバースプロキシ内で無害化とか出来るんかね? >でも悪意があるかをリバプロで判定なんて無理だと思うぞ でも今回のはldap://?だっけかの文字列が来れば無害化で何とかならんかねぇ 要件上でこの文字列があり得るならダメだけど
375 21/12/10(金)23:48:16 No.875076082
日本語だとマイクラばっか話題になってるだけでもっとやばいよね?
376 21/12/10(金)23:48:22 No.875076112
>悪あがきでもなんかこれだけはやっとけみたいな事ある? サーバーを停止する
377 21/12/10(金)23:48:30 No.875076165
>>つまり我々アプリ班じゃなくてインフラ班の仕事です >応急処置と水際対策はそうだけど根本的な脆弱性の解決はお前らも関係あるだろ!!! はー?いっこうにいんふらのしごとですがー?? げつようまでにたいさくしといてほしいのですがー??
378 21/12/10(金)23:48:30 No.875076168
でもLDAPからclass持ってきて実行するようにしたのはSunみたいだし…
379 21/12/10(金)23:48:35 No.875076189
>悪あがきでもなんかこれだけはやっとけみたいな事ある? 所持してるサーバーの外部通信を遮断
380 21/12/10(金)23:48:37 No.875076208
>C/C++, CUDA, C#, Fortran, Pythonあたりでおまんま食べてる 良い仕事をなさってらっしゃる それはそれとしてFortranいる?
381 21/12/10(金)23:48:50 No.875076270
>テキストで脆弱性起こせるのマイクラとか全然メインの話じゃない… なんならtelnet hoge.hage 80で送り込めるしな
382 21/12/10(金)23:48:57 No.875076312
>今回爆発した場所がJavaだっただけであって別にJavaは悪くないでしょ log4jを管理してるところ…Apacheが悪い?
383 21/12/10(金)23:49:14 No.875076415
>俺は在宅用PCで物見遊山気分でチャット眺めてるだけだから… 糞やろうやんけ!
384 21/12/10(金)23:49:24 No.875076480
きいて!いんたーねっとがこわれたの!
385 21/12/10(金)23:49:28 No.875076503
>でもLDAPからclass持ってきて実行するようにしたのはSunみたいだし… 最低だなFacebook…
386 21/12/10(金)23:49:45 No.875076601
>所持してるサーバーの外部通信を遮断 やはりスタンドアローンが最強…
387 21/12/10(金)23:49:53 No.875076648
今回の騒動で新システムでのオープンソースの利用にケチつけてきそうなのが一番の悩みだ
388 21/12/10(金)23:50:05 No.875076721
書き込みをした人によって削除されました
389 21/12/10(金)23:50:20 No.875076822
DB関連しかやってないから俺の担当じゃなくて良かった
390 21/12/10(金)23:50:33 No.875076889
今時独自言語とかあんの…?
391 21/12/10(金)23:50:41 No.875076936
>でもLDAPからclass持ってきて実行するようにしたのはSunみたいだし… sunマイクロシステムズ…お前は今どこで戦っている…
392 21/12/10(金)23:50:43 No.875076945
>今回の騒動で新システムでのオープンソースの利用にケチつけてきそうなのが一番の悩みだ loggingライブラリを商用で作ってるところとかあるんだろうか
393 21/12/10(金)23:50:44 No.875076946
>DB関連しかやってないから俺の担当じゃなくて良かった ほんとにぃ?
394 21/12/10(金)23:50:46 No.875076958
>今回の騒動で新システムでのオープンソースの利用にケチつけてきそうなのが一番の悩みだ それでケチつけられるかどうかはGitHubの時になんて言われたかで判断できそうだな
395 21/12/10(金)23:50:49 No.875076986
だいぶ前からあるのに今まで気付かれなかったってよっぽど使われてなかったんだなそのURLからクラスロードするやつって…
396 21/12/10(金)23:51:37 No.875077271
>だいぶ前からあるのに今まで気付かれなかったってよっぽど使われてなかったんだなそのURLからクラスロードするやつって… API自体がヤベエは前からずっと言われてたと思う…
397 21/12/10(金)23:51:40 No.875077285
今年からITの会社に入って少しだけjavaやったけど今どんな感じか詳しく教えて!
398 21/12/10(金)23:51:43 No.875077306
オープンソースを使用する場合は査読してくださいとか気軽に言われるように
399 21/12/10(金)23:51:58 No.875077390
皆comって概念が悪いんだ
400 21/12/10(金)23:52:17 No.875077499
>今年からITの会社に入って少しだけjavaやったけど今どんな感じか詳しく教えて! 対策してないと対象マシンは全部阿部寛のHPにされる
401 21/12/10(金)23:52:30 No.875077579
>今年からITの会社に入って少しだけjavaやったけど今どんな感じか詳しく教えて! 今会社のチャットルームでも見たほうが早くね?
402 21/12/10(金)23:52:32 No.875077586
>今年からITの会社に入って少しだけjavaやったけど今どんな感じか詳しく教えて! スレの残りが狭すぎて無理
403 21/12/10(金)23:52:57 No.875077706
>オープンソースを使用する場合は査読してくださいとか気軽に言われるように 使ってるOSSの更新情報とexploit情報は日々チェックしてアナウンスしてました 社内だれも取り合ってくれませんでした