関連記事
【【ヤバイ】Java製ログ出力ライブラリ「Apache Log4j」に脆弱性が見つかる!『マインクラフト』もハッキングの可能性】
↓
何でもできちゃう脆弱性ならそれでパッチを当てればいいんじゃない? ~とあるセキュリティ会社が掟破りの「Log4Shell」ワクチンを開発してしまう
記事によると
・先週末より、ロギングライブラリ「Apache Log4j」の脆弱性、通称「Log4Shell」が話題となっている。簡単なリクエストを送信するだけでリモートから任意のコードを実行可能になる極めて致命的なもの。
・「何でもできるなら、それでパッチも充てられるのでは?」と誰しも一度は思うだろうが、セキュリティベンダーCybereason社が実際にそれをやってしまった。
・同社によると、「Log4Shell」を解決するにはv2.15.0以降へのアップデートが望ましいが、次善の策としてシステムプロパティ「log4j2.formatMsgNoLookups」を「true」(真)に設定するか、クラスパスから「JndiLookup」クラスを削除するのが有効だという。
・今回リリースされた「ワクチン」ソリューション「Logout4Shell」は、脆弱性を突いてこの緩和策を適用させるもの。
・ただし、これはあくまで「奥の手」だとして、Cybereason社もこのコードを使った結果には「一切の責任を負わない」としている。
以下、全文を読む
この記事への反応
・草 かしこい
・弊社でも今朝から大騒ぎな訳ですが、この発想は無かったわー笑ったー😂
・漫画である、強い敵の強さを利用して倒すみたいなやつだ
・まさかのCybereason。割と大手なのにやるもんだなぁ
・わろた なるほどねw
・これ面白すぎるでしょ。まさにホワイトハッカーやん
・窓の杜もやんわりと書いていますが、ほんまはこれあかん事ですからね
そんな方法があったか・・・!!
※ElAanalistaDeBits参照
がんばれよ
何故ならここの連中はコンシューマであり、サプライヤーではないからだ
ロギングライブラリと言われても、思考停止して読み飛ばすだけの連中
パソニシなんてゲハにしか存在しないもんな
マイクラだけの問題じゃねえw
Code Redが流行ったときに、同じ方法で侵入して脆弱性を塞ぐワームが登場した
もしやらなければ普通にハッキングされるよ
ディオがザワールドで時止めて最強だったけど承太郎がスタープラチナで時止めたので助かった
アホかコイツ
log4jの脆弱性で普通にハッキング??
脆弱性の内容知ってる??
log4jが吐き出す内容を知ってる人なら簡単に出来るけど
log4jにどこのログが吐き出されるかを知らない人は普通には出来ないと思うけどね
C#ではかなり使ってるけどそっちは平気なのかな?
SQL Injectionの時もお前みたいな考えの奴居たなぁ・・・
sqlインジェクションはパラメータ使ってれば防げるし、攻撃されるところなんてほとんどないと思うぞ
ガチの素人が作ったシステムだけやろ
何か勘違いしてそうだな