アカウント名:
パスワード:
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク攻撃条件の複雑さ: 低必要な特権レベル: 不要ユーザ関与レベル: 不要スコープ: 変更なし機密性への影響: 高完全性への影響: 高可用性への影響: 高
うーんヤバい。log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。まさかアクセスログでインジェクション受けるとは思ってないですよ…。
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
オブジェクト指向実行環境ならではの素晴らしいネットワーク透過性の発露ではないですか。クラスファイルがたまたまリモートに存在していてもちゃんと名前を解決してログが取れるんですよ! これはSun Microsystemsに惜しみない👍を送る [impress.co.jp]べきでしょう。
どちらかというと🖕を送りたい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
CVSSスコアは驚異の9.8 (スコア:5, 参考になる)
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
必要な特権レベル: 不要
ユーザ関与レベル: 不要
スコープ: 変更なし
機密性への影響: 高
完全性への影響: 高
可用性への影響: 高
うーんヤバい。
log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
Re: (スコア:0)
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。
と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。
他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
Re: (スコア:2)
オブジェクト指向実行環境ならではの素晴らしいネットワーク透過性の発露ではないですか。クラスファイルがたまたまリモートに存在していてもちゃんと名前を解決してログが取れるんですよ! これはSun Microsystemsに惜しみない👍を送る [impress.co.jp]べきでしょう。
Re:CVSSスコアは驚異の9.8 (スコア:0)
どちらかというと🖕を送りたい