簡単な方法で任意のプログラムを実行できてしまうとして12月10日ごろからIT系企業で騒動になっている、Apacheソフトウェア財団のJava向けログ出力ライブラリApache Log4jの脆弱性。
そのLog4jの脆弱性に、ワクチンのように働き、この脆弱性を修正するプログラムが、アメリカのCybereasonから12月11日に、GitHubで公開されました。
公開された修正プログラム
Log4jには、JNDI Lookupという機能があります。
これを悪用され、外部のサーバに置いた任意のプログラムを標的に読み込ませて実行されます。
そして、その対策として、JNDI Lookup機能を停止する必要があります。
Cybereasonが公開した修正プログラムLogout4Shellは、敢えてこの脆弱性を使い、JNDI Lookup機能を停止させた状態でLog4jを再構築するプログラムを実行させることで問題を修正するというものです。
Cybereasonは、
「この欠陥は致命的なものになる可能性がある」
としてLogout4Shellを公開しました。
そして、公開にあたって
「有志で提供する物で、バグやエラーなどの欠陥が含まれる可能性がある。利用時にはデータの保護をするように」
と注意書きをしています。
TwitterでのLog4j用の脆弱性を利用した修正プログラムへの反応
Apacheは常に脆弱性と隣り合わせ😇
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— yanmy(@yanmy_bot)Mon Dec 13 12:42:04 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行(要約)
すごいな
— T.Hori(@beaTeck)Mon Dec 13 13:01:47 +0000 2021
頭いいなぁ…
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— Cibi(@cibi0123)Mon Dec 13 13:02:20 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行(要約)
— 西風ふーりん(@sharpflip)Mon Dec 13 13:27:34 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— ohhara_P🧐Slow life in the countryside(@ohhara_shiojiri)Mon Dec 13 13:27:54 +0000 2021
世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説
— ohhara_P🧐Slow life in the countryside(@ohhara_shiojiri)Mon Dec 13 13:29:15 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行(要約)
— pn(@pneu)Mon Dec 13 13:33:57 +0000 2021
なるほどー。しかしこれを使って怪しげなものもまた作れてしまうのか。クローズな環境で動作していても修正は急いだほうが良いのだろうか : “Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— bori(@bori_jp)Mon Dec 13 14:06:40 +0000 2021
この手があったか / Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— もち(@mochiflappe)Mon Dec 13 14:12:19 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— ファガイ(@fagai)Mon Dec 13 14:13:43 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— 底無沼蔵(@SokonashiNumazo)Mon Dec 13 14:44:25 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— ぴろ💛🐰🍆(@pirocot)Mon Dec 13 14:45:41 +0000 2021
遂に朝のNHKでもニュースに。
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— Hideyuki Aikawa(@2_hide_nyan)Mon Dec 13 21:52:48 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— zip358com×T2🐧💉💉(@zip358com)Mon Dec 13 22:33:03 +0000 2021
ボットネットのボット獲得競争で、競争相手が使う脆弱性を塞いで自分のボットを守る話に似ていなくもない / ““Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行”
— まろやか🐟ついに来た浅利773戦国時代(@MaroYakaZ)Mon Dec 13 22:34:52 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— 暇々しながら(@himahimaikiru)Mon Dec 13 23:06:30 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— 非代替性たまP(@tamayura510)Mon Dec 13 23:26:53 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— MSL@冬コミ【12/31(金)】東ラ-45b 売り子(@MSL_Sanatorium)Mon Dec 13 23:52:37 +0000 2021
こういうバグでバグを直す的なやつ好き
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— flan(@Flan_0329)Mon Dec 13 23:54:26 +0000 2021
素敵。でもこれ使わなきゃってなっている企業はちょっと体制的に改善の余地があると思います。
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— セキネコ(@atakaha453)Tue Dec 14 00:01:34 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
すごい展開や
— てってけ氏@富士駐屯地モニターしてます(@sima__tetteke)Tue Dec 14 00:06:41 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
その発想はなかった
— でんじ(群)(@denjineko)Tue Dec 14 00:41:36 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
— Verdegreen(@Verdentine)Tue Dec 14 01:01:06 +0000 2021
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
— Verdegreen(@Verdentine)Tue Dec 14 01:01:06 +0000 2021
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行
有志で提供する物で、バグやエラーなどの欠陥が含まれる可能性がある。利用時にはデータの保護をするように…
うーん、ワクチンじゃなく自分等で回避した方がよさそう…
— もっぱー(@mopper27af)Tue Dec 14 01:18:38 +0000 2021
技術者向け。斬新な手法だけど、素直にアップデートしろ説はある。
“Log4j用ワクチン”登場 脆弱性を利用して修正プログラムを実行 - ITmedia NEWS itmedia.co.jp/news/articles/…
— Yohjira(ぼぶ)(@Yohjira)Tue Dec 14 01:21:33 +0000 2021
@Yohjira 確かにApache Log4jの件は危険ですがぼぶっちも危ない奴ってことを見せてやりましょうよ
— もじゃ@FF14-6.0(@CarasMonjaras)Tue Dec 14 01:25:42 +0000 2021