[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

490users がブックマーク コメント 41

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

log4jの脆弱性について

490 users ezoeryou.github.io

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント41

  • 注目コメント
  • 新着コメント
maninthemiddle
外部から指定されうる任意文字列が展開評価されてる時点でだいぶ嫌な感じ。よくこんな大穴が明るみに出なかったな。 「銀行の貸金庫の換気扇が隣の中華料理屋の換気扇と繋がってた」くらいの何でだよ感

その他
Wafer
変数を展開できる(わかる)ネットワーク越しに変数に相当する...(ん?)このURLにドットをつけると任意の...(なんでやねん)

その他
fujihiro0
こっち読んだほうがいい。 https://www.lunasec.io/docs/blog/log4j-zero-day/

その他
havanap
なんでLDAPアクセスでリモートコードが実行できるのかはこのへんに https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE.pdf

その他
rryu
JNDIのLDAPサービスプロバイダにはエントリからJavaオブジェクトを取り出せる仕様があって、ログメッセージのメタ表記としてJNDIも参照できるようにしていたら罠に嵌まったという感じっぽい。

その他
programmablekinoko
SQL文はサニタイズするのが常識となったが、今後JDNI文字列が含まれていないか確認する必要があるな

その他
otoan52
opensslとかもそうだけど、インフラになってしまった枯れたはずのコードの脆弱性に、十分目が行き届かない問題はあるみたいなのよね。特に面白みもないので注視してる人がいない、なのに問題があると影響がでかい

その他
augsUK
この「仕様」はこれまで知ってた人もいたと思うが、よく大きく目立つ悪用をされてこなかったな

その他
maguro1111
これを発見・報告したのがアリババなのが現代という感じ

その他
yuuAn
HTML を出力するときと同じように、ログに出力するときもエスケープが必要ってことなのかな?

その他
NOV1975
まあ、これならAPサーバのアウトバウンド接続制限あればとりあえずは平気か?

その他
tamanecoplus
私が使ってた頃(2000年代中盤)には無かった機能。JNDI以前に注入された値を変数として評価する時点でありえないんだが...

その他
onesplat
こりゃ愛想尽かされても仕方ないな。不必要に難しいことするからこうなる。シンプルに保つのが大事なんじゃぞ

その他
urtz
メジャー言語の古いメジャーライブラリというリスク

その他
T-norf
ログで名前解決をするのは分からないではないけど、JNDI側の問題と悪魔合体して、史上最悪の影響範囲になりそう。ldap止めるとしても任意ポート使えるので大部分deny ALLしないと止まらないよ。パッチあて急ごう

その他
dbfireball
学びとしてメモ

その他
homarara
IPAのサイトに何も情報無いのは何故だ。

その他
kincholjet
Javaよく知らんのだけど変数の中身をログに出力するのってこういうライブラリ使わないといけないくらい大変なの?

その他
maguro1111
maguro1111 これを発見・報告したのがアリババなのが現代という感じ

2021年12月11日 リンク

その他
taruhachi
例外なく全ての入力はサニタイズしないとダメだよ。何も信用しちゃダメ。他のシステムから渡された値に関して、そちらでサニタイズされてる筈であったとしても、そっちでは問題ないだけかもしれない。

その他
havanap
havanap なんでLDAPアクセスでリモートコードが実行できるのかはこのへんに https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE.pdf

2021年12月11日 リンク

その他
Nyoho
"このURLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう"

その他
mohno
なんでSQLインジェクションみたいな脆弱性がいまどき?と思ったけど、「Jndi Lookup」にそういうリスクがあると知られないまま、log4jがログ出力の書式に使っていたということか(?) (SQLインジェクションみたいだな)

その他
houyhnhm
なるほど。log4j自分では使った事はないがやたら見かけるものだけに注意だなあ。

その他
strawberryhunter
第2引数以降なら問題なし。対処法としては2.15.0に更新、起動パラメータに-D log4j2.formatMsgNoLookups=true を追加、LDAPへの接続をファイアウォールでブロック、という方法があるみたい。もう今ならライブラリ更新が一番かな。

その他
versatile
変数展開時のサニタイズかぁ

その他
shunkeen
"URLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまう"/制御不能な柔軟性が牙を剥いてる🐲怖い

その他
kanopen
わかりやすい

その他
junki_au
わかりやすい。

その他
programmablekinoko
programmablekinoko SQL文はサニタイズするのが常識となったが、今後JDNI文字列が含まれていないか確認する必要があるな

2021年12月11日 リンク

その他
maninthemiddle
maninthemiddle 外部から指定されうる任意文字列が展開評価されてる時点でだいぶ嫌な感じ。よくこんな大穴が明るみに出なかったな。 「銀行の貸金庫の換気扇が隣の中華料理屋の換気扇と繋がってた」くらいの何でだよ感

2021年12月11日 リンク

その他
ot2sy39
lispっぽい。

その他
fujihiro0
fujihiro0 こっち読んだほうがいい。 https://www.lunasec.io/docs/blog/log4j-zero-day/

2021年12月11日 リンク

その他
ryuichi1208
"このURLに.を含めることにより、lg4jは任意のリモートのLDAPサーバーからjava classファイルをダウンロードして読み込んでしまうのだ" わかりやすい

その他
uehaj
ファイアウォール内ならldapは外部に行かないだろう。防火壁大事。ゼロトラストとか言ってたら昇天する。

その他
Wafer
Wafer 変数を展開できる(わかる)ネットワーク越しに変数に相当する...(ん?)このURLにドットをつけると任意の...(なんでやねん)

2021年12月11日 リンク

その他
rryu
rryu JNDIのLDAPサービスプロバイダにはエントリからJavaオブジェクトを取り出せる仕様があって、ログメッセージのメタ表記としてJNDIも参照できるようにしていたら罠に嵌まったという感じっぽい。

2021年12月11日 リンク

その他
otoan52
otoan52 opensslとかもそうだけど、インフラになってしまった枯れたはずのコードの脆弱性に、十分目が行き届かない問題はあるみたいなのよね。特に面白みもないので注視してる人がいない、なのに問題があると影響がでかい

2021年12月11日 リンク

その他
augsUK
augsUK この「仕様」はこれまで知ってた人もいたと思うが、よく大きく目立つ悪用をされてこなかったな

2021年12月11日 リンク

その他
cpw
修正はこれかな?https://github.com/apache/logging-log4j2/pull/608/files

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「log4jの脆弱性につ...」が注目されています。

気持ちをシェアしよう

ツイートする

log4jの脆弱性について

log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け... log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4jLog4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの

ブックマークしたユーザー

  • techtech05212024年05月05日 techtech0521
  • zakinco2022年06月11日 zakinco
  • mjtai2022年03月23日 mjtai
  • candy12t2022年02月08日 candy12t
  • nunux2021年12月24日 nunux
  • tg30yen2021年12月13日 tg30yen
  • otanuft2021年12月13日 otanuft
  • kai65122021年12月12日 kai6512
  • sakef2021年12月12日 sakef
  • NOV19752021年12月12日 NOV1975
  • crayzic2021年12月12日 crayzic
  • maple_magician2021年12月12日 maple_magician
  • cowbee2021年12月12日 cowbee
  • sanko04082021年12月12日 sanko0408
  • no_makibou_no_life2021年12月12日 no_makibou_no_life
  • sawarabi01302021年12月12日 sawarabi0130
  • dogusare2021年12月11日 dogusare
  • sesame_tatta2021年12月11日 sesame_tatta
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /