log4jとJavaに関するuxoruのブックマーク (6)
-
はじめに こんにちは。久々に寝坊やらかして凹んでる、SST研究開発部の小野里です。今年入ってきた新人さんたちは、私のようにならないでほしいと祈るばかりです。 さて、新年度には入ってしまいましたが、つい先日まで2021年度新卒研修最後の延長戦として、以前話題になったLog4Shell脆弱性のPoCを作るという課題に取り組んでいました。やっと動作するところまでいったものの、ここまでの道のりは非常に果てしなく複雑で長く険しいものでした。 セキュリティ業界において、多くの場合脆弱性の詳細な再現手順は伏せられる傾向にあります。それは主に悪用を防ぐためなのですが、セキュリティの初学者には実際の所何をどうするとどう危ないのか、分かりづらい場合も多いのが現状です。 Log4Shell脆弱性は非常に大きな騒ぎになったため、各所の対応も早かったかと思います。そこで、比較的Log4Shellの影響が落ち着いてき
-
オープンソースのロギングライブラリとしてさまざまなJavaアプリケーションに使われている﹁Apache Log4j﹂に、任意のリモートコードが実行できてしまう脆弱性が発見されました︵CVE - CVE-2021-44228︶。 これが悪用されると、第三者が勝手にサーバを操作して悪意のあるソフトウェアを組み込んだり、悪意のある攻撃を行う際の踏み台にされるなどのさまざまな攻撃が行われます。 すでに脆弱性の存在は広く知れ渡っているため、脆弱性のあるLog4jを使っているシステムはいつでも攻撃を受ける可能性があるのです。 この脆弱性は広範囲な影響が予想されており、多くの専門家が非常に深刻な状況として捉えています。 できるだけ速やかに、JavaアプリケーションにおけるLog4jの利用の確認と対策が必要です。 Javaアプリケーションに明示的にLog4jを組み込んでいない場合も、例えばStrutsやR
-
はじめに Apache Logging Services ProjectのLog4Jは、DBにログを出力するためのクラスとしてJDBCAppenderクラスを用意しています。このクラスはコネクションプーリングに対応していないため、ログを出力するたびに﹁DBへの接続﹂﹁SQL実行﹂﹁DB接続のクローズ﹂を繰り返します。そのためログの出力回数が増えるとシステムの負荷が高くなってしまいます。本稿では、JDBCAppenderクラスを拡張してコネクションプーリングに対応させる例を紹介します。DBのコネクションプーリング機能は﹁JakartacommonsDBCP﹂を使用します。 対象読者 Javaでプログラミングしたことがある方を対象とします。 必要な環境 J2SE5.0 Log4J 1.2.11 JakartaCommonsDBCP 1.2.1 JakartaCommons Pool
-
朝早いんです。なぜ夜遅いのは平気で、朝早いのは苦手なんだろうか?それは夜遅くまで起きてるから朝が苦手なんだよ…ってそれじゃ早起きした日は夜が苦手か?というと実はノーで、早起きしても夜は遅いのです(笑) Traveling Notesアーティスト: 葉加瀬太郎,Makoto Yamaki,鳥山雄司出版社/メーカー: ハッツ・アンリミテッド発売日: 2003/10/08メディア: CD クリック: 10回この商品を含むブログ (19件) を見るどの曲も良いですが、特に6曲目に収録されている﹁大地のうた﹂が好きかも。2:55あたりから始まる間奏(?)が一瞬クロノトリガーを連想させました。全然関連性は無いんですけど、なんとなく…なんとなくかすかにクロノトリガーの感覚がしました。オープニングの間奏と似てるかも。まぁクロノトリガーは置いておいて、葉加瀬太郎の曲はどれも好きです。 RollingFil
-
JAVA Servlet、JSP 基礎編13 - ロギング、commons-logging、log4j.properties ■ロギング ロギングとやらを試してみた。 使用したパッケージは、commons-logging-current.zip jakarta-log4j-1.2.8.zip である。 ■log4jcommons-logging がロギングの共通インタフェースを提供して、log4j などを 使う仕組みになっているようである。 何を使うかは優先順位があったり、設定できたりするが、うちの環境では log4j が優先されていた。 Tomcat の catalina.sh で、JAVA_OPTS に使用するものを設定もできたが、 不要とわかって消してしまったのでコードを失念してしまった。(^^; 控えておけば良かった... ■jar 配置 次の jar を WEB-INF/li
-
Java, メモ Javaでロギングといえばlog4j。J2SE標準にログクラスが追加されたときはlog4jの命運が話題になりましたが、未だにlog4jはJavaにおける最強のロギング・ライブラリです。log4netなんていう.NET向けのものがあったり、なんとlog4rなんていうRuby向けのものまであるくらい、支持層は幅広いですね。 でもWindowsNTベース環境︵XP含む︶だと、ローリングがうまくいかないことがあるんですね。log4jはいろんなスレッドから同時にアクセスするなんてことが当たり前のようにある。UNIX環境だと比較的うまく動くようですが︵やはり一部問題はあるようです︶、Win環境だと、潜在的問題が覿面に現れる。 問題は、ログのローテートを行う時に、File#renameTo()でリネームするところです。J2SE 1.4環境では、これはOSの移動処理を呼ぶんですかね、ロ
-
1
Log4Shellで何が起こっていたのかを追ってみる - セキュアスカイプラス
広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を
Log4J コネクションプーリング対応JDBCAppenderでパフォーマンスを向上する
2004-11-09
JAVA Servlet、JSP 基礎編13 - ロギング、commons-logging、log4j.properties - SAK Streets
Log4jのアペンダDailyRollingFileAppdenderはローリングがうまくいかないことがある - 矢野勉のはてな日記
