アカウント名:
パスワード:
このストーリーにこれだけのアレゲが既にいるということは少なくない数のアレゲが花金を堪能しているということだ。良かったよかった。
花金って言葉自体が昭和くさいなぁ若い人知らなそう
昭和臭いって発送発言が平成臭い。
平成臭いって発想が令和臭い# 同じ誤変換するとこだった# マジレスすると昭和臭いって発想は昭和臭いと思う
半ドンは、明治からかも。https://ja.wikipedia.org/wiki/%E5%8D%8A%E3%83%89%E3%83%B3 [wikipedia.org]
花金は1980年代半ば頃からある昭和の言葉だよちなみに花木(花の木曜日)という言葉もあって、1988年には新語・流行語大賞の新語部門・銀賞を受賞している
先ほどLog4jの公式サイト [apache.org]を見たところ、受ける影響がDoSからリモートコード実行に変わったようです。影響度もLowからCriticalになっています。
.NETerなので影響は無いのですが、例えばNewtonsoft.Jsonのような有名ライブラリで似たような脆弱性判明したらと思うと戦々恐々としてます…
log4netにもXXE脆弱性があるみたいだけど?
https://jvn.jp/ta/JVNTA94851885/ [jvn.jp]
中身を読んだら、設定ファイルの脆弱性じゃないか。ワークアラウンドに「設定ファイルは信頼されたもののみを使用する」とある。これで防げる程度の脆弱性、今回とは比較にならない。
log4net、log4jほどは使われてない印象。# 総数じゃなくて割合として
Javaのヤツが使おうとするくらいかな。一度だけだな。まあ止めさせたけど。
.NETならほぼNlogが圧倒的主流でしょう
その脆弱性が攻撃に使われるような状況だともっとやべー攻撃が可能な状態になってるわボケナス
この脆弱性の説明追っていくと書いてあるけど、要はフィールドデバイスと呼ばれる、周囲に人がいることを想定しない環境で使われる機器の規格でlog4netが必須だから、これはこれで大問題ではある
rsyslog は大丈夫だよね?
log4j 1.xしか使ってない弊社には一分の隙も無かった・・・
少なくともWannaCryと同程度にはヤバいと
古いJavaも結構現役だからなぁ、無いと思っていた場所で動いてたりして怖い
Oracleは金さえ払えば無期限にサポートするので
ふせげた?
設計(仕様)のバグだからどんな言語で開発してもダメでしょ。むしろダメ言語で開発したほうがバグで動かなくて助かるまである。
RustとJavaならセキュリティはJavaの方が上じゃないの?
ポインター絡みのバグ以外はどの言語使っても変わらんよ
多くの場合、Rustならビルド出来ないことによって防がれるのでは?
ネイティブコードを使う言語の場合この手のケースだとロギングツール側で動的にコードをコンパイル&リンクする機能を持ってる。まあ実装方法にもよるがリモートからコードを実行できる脆弱性が発生する可能性は消えない。実装が雑だとコンパイルエラーからのシステム停止もあるかも。あとオーバーフロー系の攻撃と組み合わせれば…
Javaにポインタは無い(キリッ
防げない、実装の問題じゃないしJNDI lookupという機能のせいなので
ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ
この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。
来るべき2010年代においては、分散オブジェクト指向プログラミングが目指す「ネットワークこそがコンピュータ」思想が現界に体現され、30億のデバイスで走るJavaにおいては、クラスがJNDIを用いてTCP/IP経由でロードされ、そのクラス名はLDAPを用いて解決されることも当たり前になると予想されるのです。したがって、ログ取得ライブラリは、若し設計者がそのようにネットワーク上に分散したクラス名を解決して記録する必要があるとしたならば、そのクラスをメモリ上に展開し、まさしくコンストラクタを実行し、得られたクラス名を正しく記録することが、当然、求められるのです。何言ってんだこいつ。
2020年代の言語で同じことを言うと「だってminifyしたjQueryでエラー出た時min.jsじゃない方CDNから取ってきて突き合わせてスタックトレース出たら便利じゃん、それのJava版」となります。これがjsだとSame-Originポリシーがあって安易に勝手サーバからは読み込めないわけですが、それこそが沈んでるコメに付いてるコメントの「思想がお花畑」ではないということなのでしょう。
クライアントサイドの話ならJavaアプレットなんて何もできないくらい制限されてのに
個人的には、「これが要る」と仮定しても、(1)ログライブラリ側で実装する様なやり方は、ログライブラリの機能過剰(機能分散のバランス不良)(2)セキュリティ対策として、信頼できるサーバリスト等の制限が不可欠(多分、ネットワーク設計側(ファイヤーウォール)でアクセスコントロールさせる想定だったと思う。マイクラサーバの様に直接の公開サーバで使われることを想定していなかった(想定が不十分だった)。)ということと思う。
>作った側も「これ要るの」っていう疑問があったんじゃないですかね
これは、筋違いですよ。ふつうに考えて、NOLOOKUPの様なオプションは、デバッグ機能ですから。使う人が少ないけど、デフォルト無効にするべき、とまでは考えなかったんでしょう。(セキュリティ想定が足りなかったんでしょう。)猜疑心にとらわれると思考が嵌りますよ。
致命的なエラーが発生してサーバ自動停止メールかツイッターかなんかに通知みたいなケースでらくできる。ログをリアルタイムないし周期的に監視してものによっては通知を飛ばすどうでもいいのはスルーみたいなツールは多い。それを一歩踏み込んでログをスクリプトかしちまえみたいなやつ。これいるのよりは多機能ロギングより高速動作を優先したい人向けに無効化オプションをつけたんでしょう。
javaって思想がお花畑なんだよなー。インターネットが平和で善意に満ち溢れた理想の世界っていう思想が根っこにある。1.5、1.6ぐらいから後付けでどんどんセキュリティ強化してくんだけど、言語やJREではなくて、エコシステム全体の古参の根っこがお花畑。
最近の言語は、一つ間違えば即死のサザンクロスシティが前提。
言語の穴やオーバーフローを突いたものではなく、想定通りの動作が危険という話ですから…Javaにダウンロードされたコードは実行させないという機能がビルトインされているなら話は別なんですが、そういう言語ありましたっけ?
環境だけどchromeの拡張のv3。
JavaのSecurityPolicy使えば、特定のファイルにしかアクセスを許さないとかはできるから防げるのかもしれないけど、僕はやったことはないのでどこまで有効かはちょっとわからないですね。前調べたときは、面白そうだけど設定が細かくて面倒臭そうだな、ってぐらいで終わってる。
javaのAccessControllerとかのsecurity apiがまさにそのためのフレームワークだけどサーバーで使ってないって理由で削除が決まってる。
Appletとか信用できないコードを実行する想定の言語だし、権限制限する仕組みはあったのだけど遅いと言われる原因の一つだったわね
ログにURLが書かれてたらそこからDLして実行する、という機能をRustで実装出来るかどうか。勿論実装可能だよ?そんな機能をログに入れようと思う方がどうかしてるだけで。
うちは Java 使ってないので安心#知らないところで使われている可能性・・・
それもあるけど「パッチ当てたからダイジョブ」もヤバい
すでに喰らっているところはパッチ当てたところですでに汚染された内患は治癒されない
任意のコードを実行可能を突かれた時点で初期化か完全ロールバックしてインバウンド止めてパッチ当てないと大丈夫にはならんわけで
騒ぎ方もそのへん踏まえていない感がパない
秘密鍵漏洩の可能性があるから証明書のrevokeもしなきゃいけないな。どこまでやられたかすらわからない事態がこんな規模で起きたというのは恐怖だ。
1分間に100回以上の攻撃が検知された場面もあったとしている↓攻撃が急増、毎分100件以上のペースで観測
脅すぶんにはいいだろう、って感じかも知れんけどだいぶニュアンス違うよね
マスゴミのやり口ですね
スラドはマスじゃないから...
Appleを虐めるな!ヽ(`Д´)ノプンプン
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
世間が平和でよかった (スコア:3, おもしろおかしい)
このストーリーにこれだけのアレゲが既にいるということは少なくない数のアレゲが花金を堪能しているということだ。
良かったよかった。
Re: (スコア:0)
花金って言葉自体が昭和くさいなぁ
若い人知らなそう
Re: (スコア:0)
昭和臭いって発送発言が平成臭い。
Re: (スコア:0)
平成臭いって発想が令和臭い
# 同じ誤変換するとこだった
# マジレスすると昭和臭いって発想は昭和臭いと思う
Re: (スコア:0)
多くの企業や公務員・学校等で週休二日が始まったのは平成に入ってから。
おそらくは「花金」は平成の言葉で、昭和にはそんな概念はなかった可能性が高い。
Re: (スコア:0)
Re: (スコア:0)
半ドンは、明治からかも。
https://ja.wikipedia.org/wiki/%E5%8D%8A%E3%83%89%E3%83%B3 [wikipedia.org]
Re: (スコア:0)
花金は1980年代半ば頃からある昭和の言葉だよ
ちなみに花木(花の木曜日)という言葉もあって、1988年には新語・流行語大賞の新語部門・銀賞を受賞している
更新: CVE-2021-45046 (スコア:2, 興味深い)
先ほどLog4jの公式サイト [apache.org]を見たところ、
受ける影響がDoSからリモートコード実行に変わったようです。
影響度もLowからCriticalになっています。
対岸の火事とは言えない (スコア:1)
.NETerなので影響は無いのですが、例えばNewtonsoft.Jsonのような有名ライブラリで似たような脆弱性判明したらと思うと戦々恐々としてます…
Re:対岸の火事とは言えない (スコア:1)
log4netにもXXE脆弱性があるみたいだけど?
https://jvn.jp/ta/JVNTA94851885/ [jvn.jp]
Re:対岸の火事とは言えない (スコア:1)
中身を読んだら、設定ファイルの脆弱性じゃないか。
ワークアラウンドに「設定ファイルは信頼されたもののみを使用する」とある。
これで防げる程度の脆弱性、今回とは比較にならない。
Re: (スコア:0)
log4net、log4jほどは使われてない印象。
# 総数じゃなくて割合として
Re: (スコア:0)
Javaのヤツが使おうとするくらいかな。
一度だけだな。
まあ止めさせたけど。
Re: (スコア:0)
.NETならほぼNlogが圧倒的主流でしょう
Re: (スコア:0)
その脆弱性が攻撃に使われるような状況だともっとやべー攻撃が可能な状態になってるわボケナス
Re: (スコア:0)
この脆弱性の説明追っていくと書いてあるけど、要はフィールドデバイスと呼ばれる、周囲に人がいることを想定しない環境で使われる機器の規格でlog4netが必須だから、これはこれで大問題ではある
Re: (スコア:0)
rsyslog は大丈夫だよね?
枯れたバージョンを好む弊社 (スコア:1)
log4j 1.xしか使ってない弊社には一分の隙も無かった・・・
Java 7向けにLog4j 2.12.2も特例リリース (スコア:0)
少なくともWannaCryと同程度にはヤバいと
Re: (スコア:0)
古いJavaも結構現役だからなぁ、無いと思っていた場所で動いてたりして怖い
Re: (スコア:0)
Oracleは金さえ払えば無期限にサポートするので
Rustさんなら (スコア:0)
ふせげた?
Re:Rustさんなら (スコア:1)
設計(仕様)のバグだからどんな言語で開発してもダメでしょ。
むしろダメ言語で開発したほうがバグで動かなくて助かるまである。
Re: (スコア:0)
RustとJavaならセキュリティはJavaの方が上じゃないの?
Re: (スコア:0)
ポインター絡みのバグ以外はどの言語使っても変わらんよ
Re: (スコア:0)
多くの場合、Rustならビルド出来ないことによって防がれるのでは?
Re: (スコア:0)
ネイティブコードを使う言語の場合この手のケースだとロギングツール側で動的にコードをコンパイル&リンクする機能を持ってる。まあ実装方法にもよるがリモートからコードを実行できる脆弱性が発生する可能性は消えない。
実装が雑だとコンパイルエラーからのシステム停止もあるかも。あとオーバーフロー系の攻撃と組み合わせれば…
Re: (スコア:0)
Javaにポインタは無い(キリッ
Re: (スコア:0)
防げない、実装の問題じゃないし
JNDI lookupという機能のせいなので
Re:Rustさんなら (スコア:3, すばらしい洞察)
ログのパースでJNDI lookupを発生させようとする発想のせいだろ。スクリプト言語で言えばログの文字列に対してevalするようなものだ
Re: (スコア:0)
この機能、何で必要だったんですかね…NOLOOKUPとかいうオプションがあるあたり、作った側も「これ要るの」っていう疑問があったんじゃないですかね…誰かこれなくなると困るひと、コメントお願いします。
Re:Rustさんなら (スコア:1)
来るべき2010年代においては、分散オブジェクト指向プログラミングが目指す「ネットワークこそがコンピュータ」思想が現界に体現され、30億のデバイスで走るJavaにおいては、クラスがJNDIを用いてTCP/IP経由でロードされ、そのクラス名はLDAPを用いて解決されることも当たり前になると予想されるのです。したがって、ログ取得ライブラリは、若し設計者がそのようにネットワーク上に分散したクラス名を解決して記録する必要があるとしたならば、そのクラスをメモリ上に展開し、まさしくコンストラクタを実行し、得られたクラス名を正しく記録することが、当然、求められるのです。何言ってんだこいつ。
2020年代の言語で同じことを言うと「だってminifyしたjQueryでエラー出た時min.jsじゃない方CDNから取ってきて突き合わせてスタックトレース出たら便利じゃん、それのJava版」となります。これがjsだとSame-Originポリシーがあって安易に勝手サーバからは読み込めないわけですが、それこそが沈んでるコメに付いてるコメントの「思想がお花畑」ではないということなのでしょう。
Re: (スコア:0)
クライアントサイドの話ならJavaアプレットなんて何もできないくらい制限されてのに
Re:Rustさんなら (スコア:1)
個人的には、「これが要る」と仮定しても、
(1)ログライブラリ側で実装する様なやり方は、ログライブラリの機能過剰(機能分散のバランス不良)
(2)セキュリティ対策として、信頼できるサーバリスト等の制限が不可欠(多分、ネットワーク設計側(ファイヤーウォール)でアクセスコントロールさせる想定だったと思う。マイクラサーバの様に直接の公開サーバで使われることを想定していなかった(想定が不十分だった)。)
ということと思う。
>作った側も「これ要るの」っていう疑問があったんじゃないですかね
これは、筋違いですよ。ふつうに考えて、NOLOOKUPの様なオプションは、デバッグ機能ですから。
使う人が少ないけど、デフォルト無効にするべき、とまでは考えなかったんでしょう。(セキュリティ想定が足りなかったんでしょう。)
猜疑心にとらわれると思考が嵌りますよ。
Re: (スコア:0)
致命的なエラーが発生してサーバ自動停止メールかツイッターかなんかに通知みたいなケースでらくできる。
ログをリアルタイムないし周期的に監視してものによっては通知を飛ばすどうでもいいのはスルーみたいなツールは多い。それを一歩踏み込んでログをスクリプトかしちまえみたいなやつ。
これいるのよりは多機能ロギングより高速動作を優先したい人向けに無効化オプションをつけたんでしょう。
Re:Rustさんなら (スコア:1)
javaって思想がお花畑なんだよなー。
インターネットが平和で善意に満ち溢れた理想の世界っていう思想が根っこにある。
1.5、1.6ぐらいから後付けでどんどんセキュリティ強化してくんだけど、言語やJREではなくて、
エコシステム全体の古参の根っこがお花畑。
最近の言語は、一つ間違えば即死のサザンクロスシティが前提。
Re: (スコア:0)
言語の穴やオーバーフローを突いたものではなく、想定通りの動作が危険という話ですから…Javaにダウンロードされたコードは実行させないという機能がビルトインされているなら話は別なんですが、そういう言語ありましたっけ?
Re:Rustさんなら (スコア:1)
環境だけどchromeの拡張のv3。
Re: (スコア:0)
JavaのSecurityPolicy使えば、特定のファイルにしかアクセスを許さないとかはできるから防げるのかもしれないけど、僕はやったことはないのでどこまで有効かはちょっとわからないですね。
前調べたときは、面白そうだけど設定が細かくて面倒臭そうだな、ってぐらいで終わってる。
Re: (スコア:0)
javaのAccessControllerとかのsecurity apiがまさにそのためのフレームワークだけどサーバーで使ってないって理由で削除が決まってる。
Re: (スコア:0)
Appletとか信用できないコードを実行する想定の言語だし、権限制限する仕組みはあったのだけど
遅いと言われる原因の一つだったわね
Re: (スコア:0, 荒らし)
ログにURLが書かれてたらそこからDLして実行する、という機能をRustで実装出来るかどうか。
勿論実装可能だよ?そんな機能をログに入れようと思う方がどうかしてるだけで。
Java free (スコア:0)
うちは Java 使ってないので安心
#知らないところで使われている可能性・・・
Re:Java free (スコア:4, すばらしい洞察)
うちは Java 使ってないので安心
#知らないところで使われている可能性・・・
それもあるけど
「パッチ当てたからダイジョブ」
もヤバい
すでに喰らっているところはパッチ当てたところで
すでに汚染された内患は治癒されない
任意のコードを実行可能を突かれた時点で
初期化か完全ロールバックしてインバウンド止めてパッチ当てないと
大丈夫にはならんわけで
騒ぎ方もそのへん踏まえていない感がパない
Re: (スコア:0)
秘密鍵漏洩の可能性があるから証明書のrevokeもしなきゃいけないな。
どこまでやられたかすらわからない事態がこんな規模で起きたというのは恐怖だ。
タイトル (スコア:0)
1分間に100回以上の攻撃が検知された場面もあったとしている
↓
攻撃が急増、毎分100件以上のペースで観測
脅すぶんにはいいだろう、って感じかも知れんけどだいぶニュアンス違うよね
Re: (スコア:0)
マスゴミのやり口ですね
Re: (スコア:0)
スラドはマスじゃないから...
Re:そりゃそうでしょ (スコア:1)
Appleを虐めるな!ヽ(`Д´)ノプンプン