アカウント名:
パスワード:
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク攻撃条件の複雑さ: 低必要な特権レベル: 不要ユーザ関与レベル: 不要スコープ: 変更なし機密性への影響: 高完全性への影響: 高可用性への影響: 高
うーんヤバい。log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。まさかアクセスログでインジェクション受けるとは思ってないですよ…。
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
? それが当たり前なのでは?他者が作った物を無条件に信用せず、安全性をソースレベルで確認できるのがメリットでしょう? むしろ確認してないことに驚きですよ。
知ったかこくのやめたら?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
CVSSスコアは驚異の9.8 (スコア:5, 参考になる)
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
必要な特権レベル: 不要
ユーザ関与レベル: 不要
スコープ: 変更なし
機密性への影響: 高
完全性への影響: 高
可用性への影響: 高
うーんヤバい。
log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
Re: (スコア:0)
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。
と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。
他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
Re: (スコア:-1)
? それが当たり前なのでは?
他者が作った物を無条件に信用せず、安全性をソースレベルで確認できるのがメリットでしょう?
むしろ確認してないことに驚きですよ。
Re:CVSSスコアは驚異の9.8 (スコア:0)
知ったかこくのやめたら?