![](https://cdn-ak-scissors.b.st-hatena.com/image/square/052e6a09186e7e5b2c53b5e71d03cab0aa67883b/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fnews%2Farticles%2F2112%2F10%2Fcover_news157.jpg)
エントリーの編集
![loading...](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/common/loading@2x.gif)
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
522 usersがブックマーク
106
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
記事へのコメント106件
- 注目コメント
- 新着コメント
![runt_nc runt_nc](https://cdn.profile-image.st-hatena.com/users/runt_nc/profile.png)
runt_nc
内容はともかく、nlabでもないITmediaでこんな煽りタイトルはいただけない。わかる人間は最初の鍵括弧がなくてもヤバさがわかるし、最初の鍵括弧に釣られるような層はこれ読んでも何のことかわからないでしょ。
![unfallen_castle unfallen_castle](https://cdn.profile-image.st-hatena.com/users/unfallen_castle/profile.png)
unfallen_castle
「LDAPを参照してその中に含まれているURLでダウンロードしたclassファイルを勝手にロードする」マジか。これ、既にメンテナンスできなくなってるシステムとか詰んでる可能性があるのでは
![kuzumimizuku kuzumimizuku](https://cdn.profile-image.st-hatena.com/users/kuzumimizuku/profile.png)
kuzumimizuku
バージョン2系だけなら対策済みのバージョン(2.15.0-rc2)にアップデートするのは比較的問題なさそうだけど、バージョン1系もとなるとちょっとこれはややこしいことになりそう。
![hdkINO33 hdkINO33](https://cdn.profile-image.st-hatena.com/users/hdkINO33/profile.png)
hdkINO33
“「Javaでサーバサイドを作っていれば直接でなくても依存で使っていることがほとんどで、関係ないと思っていてもだいたい関係している。対策するのが相当大変なので放置する会社が多そう」”
![t-tanaka t-tanaka](https://cdn.profile-image.st-hatena.com/users/t-tanaka/profile.png)
t-tanaka
穴を塞いだのは12月5日のこのCommit→ https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3 で,これをみた外部のユーザーがそののやばさに気がつき,対応バージョンが公開される前にexploitを公開,の流れか。
![x100jp x100jp](https://cdn.profile-image.st-hatena.com/users/x100jp/profile.png)
x100jp
サーバーサイドJavaだけなら、うちはセーフだけど。。log4phpとかは、使い方を似せてるだけなんだっけ?
![LM-7 LM-7](https://cdn.profile-image.st-hatena.com/users/LM-7/profile.png)
LM-7
週末直前にスコア10点満点の致命的なゼロディ脆弱性が発見され、すでに悪用した攻撃が始まっている。多くのサービスが致命的な被害を受けかねない。Severity: Critical Base CVSS Score: 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
![アプリのスクリーンショット](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/entry/app-screenshot.png)
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームの...
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの﹁iCloud﹂もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト﹁Cyber Kendra﹂によれば、この脆弱性に対して付与されるCVE番号は﹁CVE-2021-44228﹂という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。﹁やばすぎる﹂﹁思っていたよりずっとひどいバグだった﹂﹁なぜこんな
2021/12/10 リンク