21/12/10 23:51:31.92 mF2r1jft0●.net BE:788192358-2BP(10000)
URLリンク(img.5ch.net)
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
2021年12月10日 16時42分 公開
[松浦立樹,ITmedia]
Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。
例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。
この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。
セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。
withpop
@anoparanominal
log4jのやつ、LDAPを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードするらしい。なんでこんな謎機能が実装されてるの…?
午後2:55 · 2021年12月10日
Takuo Kihira
@tkihira
今回の log4j の脆弱性が大惨事である理由としては、Java でサーバサイド作っていれば直接でなくても依存で使っていることがほとんどで、関係ないと思っていても大体関係していることなんですよね。そして対策するのが相当大変なので放置する会社が多そうなので、暗黒期突入まで可能性あります。
午後1:25 · 2021年12月10日
URLリンク(www.itmedia.co.jp)