Twitterまとめ ネットの知恵 旬な話題 生活の知恵 話題の物

Log4j用ワクチンで脆弱性を利用して修正プログラムを実行

簡単な方法で任意のプログラムを実行できてしまうとして12月10日ごろからIT系企業で騒動になっている、Apacheソフトウェア財団のJava向けログ出力ライブラリApache Log4jの脆弱性。

そのLog4jの脆弱性に、ワクチンのように働き、この脆弱性を修正するプログラムが、アメリカのCybereasonから12月11日に、GitHubで公開されました。

公開された修正プログラム

Log4jには、JNDI Lookupという機能があります。

これを悪用され、外部のサーバに置いた任意のプログラムを標的に読み込ませて実行されます。

そして、その対策として、JNDI Lookup機能を停止する必要があります。

Cybereasonが公開した修正プログラムLogout4Shellは、敢えてこの脆弱性を使い、JNDI Lookup機能を停止させた状態でLog4jを再構築するプログラムを実行させることで問題を修正するというものです。

Cybereasonは、

「この欠陥は致命的なものになる可能性がある」

としてLogout4Shellを公開しました。

そして、公開にあたって

「有志で提供する物で、バグやエラーなどの欠陥が含まれる可能性がある。利用時にはデータの保護をするように」

と注意書きをしています。

TwitterでのLog4j用の脆弱性を利用した修正プログラムへの反応

-Twitterまとめ, ネットの知恵, 旬な話題, 生活の知恵, 話題の物
-,

© 2022 アラ還おやじのコーヒータイム!これっていいんじゃない?