アカウント名:
パスワード:
.NETerなので影響は無いのですが、例えばNewtonsoft.Jsonのような有名ライブラリで似たような脆弱性判明したらと思うと戦々恐々としてます…
log4netにもXXE脆弱性があるみたいだけど?
https://jvn.jp/ta/JVNTA94851885/ [jvn.jp]
中身を読んだら、設定ファイルの脆弱性じゃないか。ワークアラウンドに「設定ファイルは信頼されたもののみを使用する」とある。これで防げる程度の脆弱性、今回とは比較にならない。
log4net、log4jほどは使われてない印象。# 総数じゃなくて割合として
Javaのヤツが使おうとするくらいかな。一度だけだな。まあ止めさせたけど。
.NETならほぼNlogが圧倒的主流でしょう
その脆弱性が攻撃に使われるような状況だともっとやべー攻撃が可能な状態になってるわボケナス
この脆弱性の説明追っていくと書いてあるけど、要はフィールドデバイスと呼ばれる、周囲に人がいることを想定しない環境で使われる機器の規格でlog4netが必須だから、これはこれで大問題ではある
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
対岸の火事とは言えない (スコア:1)
.NETerなので影響は無いのですが、例えばNewtonsoft.Jsonのような有名ライブラリで似たような脆弱性判明したらと思うと戦々恐々としてます…
Re:対岸の火事とは言えない (スコア:1)
log4netにもXXE脆弱性があるみたいだけど?
https://jvn.jp/ta/JVNTA94851885/ [jvn.jp]
Re:対岸の火事とは言えない (スコア:1)
中身を読んだら、設定ファイルの脆弱性じゃないか。
ワークアラウンドに「設定ファイルは信頼されたもののみを使用する」とある。
これで防げる程度の脆弱性、今回とは比較にならない。
Re: (スコア:0)
log4net、log4jほどは使われてない印象。
# 総数じゃなくて割合として
Re: (スコア:0)
Javaのヤツが使おうとするくらいかな。
一度だけだな。
まあ止めさせたけど。
Re: (スコア:0)
.NETならほぼNlogが圧倒的主流でしょう
Re: (スコア:0)
その脆弱性が攻撃に使われるような状況だともっとやべー攻撃が可能な状態になってるわボケナス
Re: (スコア:0)
この脆弱性の説明追っていくと書いてあるけど、要はフィールドデバイスと呼ばれる、周囲に人がいることを想定しない環境で使われる機器の規格でlog4netが必須だから、これはこれで大問題ではある