Twitterまとめ ネットの知恵 旬な話題 話題の物

JavaライブラリLog4jで見つかったゼロデイ脆弱性がヤバ過ぎる

12月10日にゼロデイ脆弱性があることが判明したJavaライブラリのLog4j。

悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになるようです。

広範囲に影響が及ぶ可能性があり、災害級の案件だと声が上がっています。

Minecraftの一部サーバでは対応を進めている

Minecraftでは、チャットに悪意のある文字列を書き込んだりするなどしてログに記録させるだけで任意のリモートコードを実行できてしまうことが報告されているそうです。

さのため、既に、Minecraftの一部サーバでは、閉鎖やパッチの適用などの対応を進めているそうです。

影響は広範囲に及ぶ可能性が強い

Webセキュリティ製品などを手掛けるアメリカのLunaSecの報告では、Minecraftの他、ゲームプラットフォームのSteamやAppleのiCloudもこの脆弱性を持つことが分かっていて、影響は、広範囲に及ぶ可能性が強いそうです。

脆弱性の影響があるLog4jのバージョン

この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていました。

しかし、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されています。

脆弱性への対策

脆弱性への対策には、修正済みのバージョンの2.15.0-rc2へのアップデートが推奨されています。

脆弱性に対して付与されるCVE番号

セキュリティニュースサイトのCyber Kendraでは、この脆弱性に対して付与されるCVE番号は、CVE-2021-44228だそうです。

Twitterでも続々反応

脆弱性の報告を受け、Twitter上では、ITエンジニアたちが続々反応しています。

「やばすぎる」

「思っていたよりずっとひどいバグだった」

「なぜこんな(外部からプログラムを取得する)機能が実装されていたのか」

などの声が上がっています。

Twitterでのゼロデイ脆弱性への反応

-Twitterまとめ, ネットの知恵, 旬な話題, 話題の物
-, ,

© 2022 アラ還おやじのコーヒータイム!これっていいんじゃない?