パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる」記事へのコメント

  • by Anonymous Coward

    RedHatのCVE-2021-44228ページ [redhat.com]

    攻撃元区分: ネットワーク
    攻撃条件の複雑さ: 低
    必要な特権レベル: 不要
    ユーザ関与レベル: 不要
    スコープ: 変更なし
    機密性への影響: 高
    完全性への影響: 高
    可用性への影響: 高

    うーんヤバい。
    log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
    まさかアクセスログでインジェクション受けるとは思ってないですよ…。

    • by Anonymous Coward

      そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。
      と今回のニュースを見て多くの開発者が思ったんではないかと。

      log4jを使ったことがあるだけにかなり衝撃的だよ。
      他者か提供するライブラリーはソースを読むところから始めないといかんのか!?

      • by Anonymous Coward

        OSにログ機能が無くてもカバーできるようにする為、という辺りかな?
        PC関係だけをターゲットにするなら無くてもいいだろうけど。

        • by Anonymous Coward on 2021年12月12日 4時26分 (#4168348)

          ソフトウェアから見たログの出し方も、
          Javaの実行環境についてもご存知ない?

          ログってのは開発言語上で扱う様々な情報を文字列化できると便利に使える物なので、
          開発言語に依存しないOS機能がいくらか充実してた所で言語に依存する機能は充実しない。
          そしてJavaは一度書いたコードが大きく異なる環境でも動かせるというコンセプトを持っているので、
          コンセプトが機能する範囲において「ターゲット」という概念を持ち出すこと自体何かがおかしい。

          親コメント
          • by Anonymous Coward

            前提がいろいろ間違ってるね。
            なんだかんだいってJavaは割と低レベルまでアクセスできるようになってるので、
            OS機能が充実していれば楽に使用できるし充実してなければ諦めるか代替機能を作成するようになってる。
            Pure Javaだけだと使い物にならなかったからだけど。
            そしてWrite Once,Run Anywhereのコンセプトは実現したことが無い。
            だから「コンセプトが機能する範囲」というのは存在しない。

最初のバージョンは常に打ち捨てられる。

処理中...