アカウント名:
パスワード:
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク攻撃条件の複雑さ: 低必要な特権レベル: 不要ユーザ関与レベル: 不要スコープ: 変更なし機密性への影響: 高完全性への影響: 高可用性への影響: 高
うーんヤバい。log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。まさかアクセスログでインジェクション受けるとは思ってないですよ…。
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
オブジェクト指向実行環境ならではの素晴らしいネットワーク透過性の発露ではないですか。クラスファイルがたまたまリモートに存在していてもちゃんと名前を解決してログが取れるんですよ! これはSun Microsystemsに惜しみない👍を送る [impress.co.jp]べきでしょう。
どちらかというと🖕を送りたい
OSにログ機能が無くてもカバーできるようにする為、という辺りかな?PC関係だけをターゲットにするなら無くてもいいだろうけど。
ソフトウェアから見たログの出し方も、Javaの実行環境についてもご存知ない?
ログってのは開発言語上で扱う様々な情報を文字列化できると便利に使える物なので、開発言語に依存しないOS機能がいくらか充実してた所で言語に依存する機能は充実しない。そしてJavaは一度書いたコードが大きく異なる環境でも動かせるというコンセプトを持っているので、コンセプトが機能する範囲において「ターゲット」という概念を持ち出すこと自体何かがおかしい。
前提がいろいろ間違ってるね。なんだかんだいってJavaは割と低レベルまでアクセスできるようになってるので、OS機能が充実していれば楽に使用できるし充実してなければ諦めるか代替機能を作成するようになってる。Pure Javaだけだと使い物にならなかったからだけど。そしてWrite Once,Run Anywhereのコンセプトは実現したことが無い。だから「コンセプトが機能する範囲」というのは存在しない。
おめーはやってんの?暇だね。
あなたが確認していないのなら,他の誰かが確認してくれているから安全性が保たれているわけです。
私もソースレベルでの検証は完全にできているわけではないので,「暇だね。」じゃなくて「いつもお世話になっております。」と申し上げます。
当たり前ならこんな問題になってないし、log4j使ってるプログラマの1%でもそうしてたとするならこんな脆弱性とっくに見つかってる。
誰かが作った優れた仕組みをインターフェイスだけ見れば使えるというのがソフトウェアの発展の礎そのものだろう。
あんたは当然Linuxもgccも全部ソース読んでるんだよな。マジリスペクトだわ。
知ったかこくのやめたら?
ソース読めても安全性まで確認できるのはスーパーなハッカーだけなんだよなあ
本来はそうだがソースを見たところでバグを見つけられるわけではない。貴方が使っているライブラリにだって発見されてない多数のバグが存在しててもおかしくないですよ。ちゃんと確認しててバグを取り除いた上で使っているのであれば、その証拠(issueやPRなど)を出せば批判コメントは減ると思いますよ?
> 証拠そんな活動してるとすれば> 当たり前なんて言う訳がないよねそれがいかに当たり前でないかよく分かってるはずだもの
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
CVSSスコアは驚異の9.8 (スコア:5, 参考になる)
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
必要な特権レベル: 不要
ユーザ関与レベル: 不要
スコープ: 変更なし
機密性への影響: 高
完全性への影響: 高
可用性への影響: 高
うーんヤバい。
log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
Re:CVSSスコアは驚異の9.8 (スコア:0)
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。
と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。
他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
Re:CVSSスコアは驚異の9.8 (スコア:2)
オブジェクト指向実行環境ならではの素晴らしいネットワーク透過性の発露ではないですか。クラスファイルがたまたまリモートに存在していてもちゃんと名前を解決してログが取れるんですよ! これはSun Microsystemsに惜しみない👍を送る [impress.co.jp]べきでしょう。
Re: (スコア:0)
どちらかというと🖕を送りたい
Re: (スコア:0)
OSにログ機能が無くてもカバーできるようにする為、という辺りかな?
PC関係だけをターゲットにするなら無くてもいいだろうけど。
Re: (スコア:0)
ソフトウェアから見たログの出し方も、
Javaの実行環境についてもご存知ない?
ログってのは開発言語上で扱う様々な情報を文字列化できると便利に使える物なので、
開発言語に依存しないOS機能がいくらか充実してた所で言語に依存する機能は充実しない。
そしてJavaは一度書いたコードが大きく異なる環境でも動かせるというコンセプトを持っているので、
コンセプトが機能する範囲において「ターゲット」という概念を持ち出すこと自体何かがおかしい。
Re: (スコア:0)
前提がいろいろ間違ってるね。
なんだかんだいってJavaは割と低レベルまでアクセスできるようになってるので、
OS機能が充実していれば楽に使用できるし充実してなければ諦めるか代替機能を作成するようになってる。
Pure Javaだけだと使い物にならなかったからだけど。
そしてWrite Once,Run Anywhereのコンセプトは実現したことが無い。
だから「コンセプトが機能する範囲」というのは存在しない。
Re: (スコア:0)
おめーはやってんの?暇だね。
Re: (スコア:0)
あなたが確認していないのなら,他の誰かが確認してくれているから安全性が保たれているわけです。
私もソースレベルでの検証は完全にできているわけではないので,
「暇だね。」じゃなくて「いつもお世話になっております。」と申し上げます。
Re: (スコア:0)
当たり前ならこんな問題になってないし、
log4j使ってるプログラマの1%でもそうしてたとするならこんな脆弱性とっくに見つかってる。
誰かが作った優れた仕組みをインターフェイスだけ見れば使えるというのがソフトウェアの発展の礎そのものだろう。
あんたは当然Linuxもgccも全部ソース読んでるんだよな。
マジリスペクトだわ。
Re: (スコア:0)
知ったかこくのやめたら?
Re: (スコア:0)
ソース読めても安全性まで確認できるのはスーパーなハッカーだけなんだよなあ
Re: (スコア:0)
本来はそうだがソースを見たところでバグを見つけられるわけではない。
貴方が使っているライブラリにだって発見されてない多数のバグが存在しててもおかしくないですよ。
ちゃんと確認しててバグを取り除いた上で使っているのであれば、その証拠(issueやPRなど)を出せば批判コメントは減ると思いますよ?
Re: (スコア:0)
> 証拠
そんな活動してるとすれば
> 当たり前
なんて言う訳がないよね
それがいかに当たり前でないかよく分かってるはずだもの