パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も」記事へのコメント

  • .NETerなので影響は無いのですが、例えばNewtonsoft.Jsonのような有名ライブラリで似たような脆弱性判明したらと思うと戦々恐々としてます…

    • by Anonymous Coward on 2021年12月17日 22時23分 (#4172039)

      log4netにもXXE脆弱性があるみたいだけど?

      https://jvn.jp/ta/JVNTA94851885/ [jvn.jp]

      親コメント
      • by Anonymous Coward on 2021年12月18日 0時10分 (#4172072)

        中身を読んだら、設定ファイルの脆弱性じゃないか。
        ワークアラウンドに「設定ファイルは信頼されたもののみを使用する」とある。
        これで防げる程度の脆弱性、今回とは比較にならない。

        親コメント
      • by Anonymous Coward

        log4net、log4jほどは使われてない印象。
        # 総数じゃなくて割合として

        • by Anonymous Coward

          Javaのヤツが使おうとするくらいかな。
          一度だけだな。
          まあ止めさせたけど。

      • by Anonymous Coward

        .NETならほぼNlogが圧倒的主流でしょう

      • by Anonymous Coward

        その脆弱性が攻撃に使われるような状況だともっとやべー攻撃が可能な状態になってるわボケナス

        • by Anonymous Coward

          この脆弱性の説明追っていくと書いてあるけど、要はフィールドデバイスと呼ばれる、周囲に人がいることを想定しない環境で使われる機器の規格でlog4netが必須だから、これはこれで大問題ではある

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...