#log4j

未分類

コメント

  1. comment_92 より:
    2021年12月12日 1:02 PM
  2. 【重要】バニラ、

    2021-12-12 13:02:29
返信
  • comment_97 より:
    2021年12月13日 9:03 AM
  • log4jにこんな機能あったんだ… 知らんよ。

    2021-12-13 09:03:27
    • 返信
  • comment_11 より:
    2021年12月14日 10:02 AM
  • log4j なんのパッケージなんだろか

    2021-12-14 10:02:52
    • 返信
  • comment_40 より:
    2021年12月15日 10:03 AM

  • そらの あお(Sorano Ao)????
    さん
    log4j ってなんで外部コードのロード機能つけたんだろう。

    2021-12-15 10:03:26
    • 返信
  • comment_37 より:
    2021年12月16日 4:02 AM

  • ちゅうわん
    さん
    log4j2のおかげで明日は会社電話持ち歩きだな。(電話番くらいしかできん)

    2021-12-16 04:02:06
    • 返信
  • comment_40 より:
    2021年12月16日 10:02 AM

  • みのる
    さん

    2021-12-16 10:02:35
    • 返信
  • comment_79 より:
    2021年12月16日 5:02 PM

  • Hajime Nakagami
    さん
    log4j の脆弱性、僕が見たことないくらいの大惨事になるのかも

    2021-12-16 17:02:36
    • 返信
  • comment_28 より:
    2021年12月17日 12:02 AM

  • しとらす??
    さん
    メインでlogback使ってたとしても依存ライブラリとかで局所的にlog4j使われてたりすることがあるのがまた怖い

    2021-12-17 00:02:07
    • 返信
  • comment_36 より:
    2021年12月17日 8:02 AM

  • Gorira_Tatsu
    さん
    log4j、話だけ聞いてるとログ出力に本体が影響出る理由がわからなくて、脆弱性を見つける人たちって本当すげえと思う

    2021-12-17 08:02:33
    • 返信
  • comment_99 より:
    2021年12月17日 3:02 PM

  • ますたー
    さん
    現時点で日本のセキュリティ機関は何も発信していないという認識ですが、時差的に日本と近いニュージーランドの CERT NZ は既に初報を出していますね。 / Log4j RCE 0-day actively exploited cert.govt.nz/it-specialists…

    2021-12-17 15:02:33
    • 返信
  • comment_69 より:
    2021年12月17日 10:02 PM

  • 山貂
    さん
    log4j脆弱性の話、事情は全然わかってないけど、外から文字列を受け付けるJavaプログラムに高確率でなんでもさせられるみたいな理解でいいのかな。対策が既にあるにしても、作りきってしまってるとかで間に合わないものとかありそう。どうなるんだろ。

    2021-12-17 22:02:34
    • 返信
  • comment_53 より:
    2021年12月18日 5:02 AM

  • Joshua H Watson
    さん
    返信先:@gabasuJNDI injectionはしばらく前にあった話題ね。 log4jがinitialConext.lookupにdeserializedなデータを渡すということ?

    2021-12-18 05:02:04
    • 返信
  • comment_28 より:
    2021年12月18日 11:02 AM

  • ねこのごはん♎おめめかゆかゆ
    さん
    log4jはAWS的にどうなんだろう?

    2021-12-18 11:02:32
    • 返信
  • comment_28 より:
    2021年12月18日 5:02 PM

  • 水戸部
    さん
    ITエンジニア歴10年以上の人なら少なくとも1つはJAVA使ったプロジェクト経験してると思うし、log4jの話聞いて昔関わったプロジェクトに想いを馳せてるのでは?

    2021-12-18 17:02:33
    • 返信
  • comment_8 より:
    2021年12月18日 11:02 PM

  • mattn
    さん
    log4j の脆弱性 0-day 件で今も頑張ってるエンジニアの皆さんに、この1曲を送ります。 「ゼロデイ」曲:佐野元春

    2021-12-18 23:02:45
    • 返信
  • comment_8 より:
    2021年12月19日 6:02 AM

  • くまた
    さん
    log4j2のせいで金曜失った人多そう…お疲れ様です!!!

    2021-12-19 06:02:05
    • 返信
  • comment_4 より:
    2021年12月19日 12:02 PM

  • mkaraki
    さん
    log4jの脆弱性の再現性が高すぎる。これ、ダメな奴。

    2021-12-19 12:02:34
    • 返信
  • comment_21 より:
    2021年12月19日 6:02 PM

  • Steam89R
    さん
    Log4jの件みてうわぁってなってる(白目

    2021-12-19 18:02:35
    • 返信
  • comment_15 より:
    2021年12月20日 1:02 AM

  • KingYoSun
    さん
    表向きlog4j使ってる鯖は持ってないけど依存の依存が怖いのでcloudflare課金してWAF有効化した これcloudflareのWAF使うのに月額20ドルかかるからcloudflareめっちゃ儲かるのでは

    2021-12-20 01:02:05
    • 返信
  • comment_26 より:
    2021年12月20日 7:02 AM

  • あるどーす
    さん
    Log4j 2系の脆弱性完全ではないけど再現できた

    2021-12-20 07:02:26
    • 返信
  • comment_90 より:
    2021年12月20日 1:02 PM

  • chengtian7806
    さん
    Log4jの件、社内で話題になってた Cの世界の住人なので人事と思ってたけどかなりやばそう

    2021-12-20 13:02:29
    • 返信
  • comment_82 より:
    2021年12月20日 7:02 PM

  • WIX
    さん
    Log4j、任意の文字をチャットで打ち込むだけで攻撃可能とかかなりヤバいだろ。しかもJavaでメジャーなロガーだから影響範囲も計り知れない。

    2021-12-20 19:02:33
    • 返信
  • comment_43 より:
    2021年12月21日 2:02 AM

  • Suda Mikihiro (sudame)
    さん
    しかしまぁlog4j 友人とトンカツを食いながら話題になるくらいにはlog4j

    2021-12-21 02:02:05
    • 返信
  • comment_83 より:
    2021年12月21日 8:02 AM

  • はてなブックマーク::Hotentry
    さん

    2021-12-21 08:02:33
    • 返信
  • comment_43 より:
    2021年12月21日 3:02 PM

  • べるべる
    さん
    家族用マイクラサーバーはターゲットにならんだろうけどlog4j対策した。

    2021-12-21 15:02:34
    • 返信
  • comment_85 より:
    2021年12月21日 10:02 PM

  • Gu
    さん
    changelog Update Log4J to fix the security issue inside it. (#8275)

    2021-12-21 22:02:33
    • 返信
  • comment_16 より:
    2021年12月22日 5:02 AM

  • くりーむ/Ship9
    さん
    ・log4jの脆弱性はマイクラのサーバー、クライアント両方にある ・チャットに打ち込んだ文字列で悪意あるコードが実行できるが、チャットの記録をサーバー、クライアント両方にしてあるので、クライアント→クライアントで攻撃が成立する。JVMの引数を設定してマイクラクライアントを起動すれば対策可

    2021-12-22 05:02:06
    • 返信
  • comment_88 より:
    2021年12月22日 11:02 AM

  • Yuichiro Fukubayashi
    さん
    log4j2の脆弱性で何をされたらヤバそうか考えていたが、権限設定が緩い(=adminに近い)EC2のcredential取られるのが一番ヤバそう。そのEC2(のIAM role)に許可した操作は何でもできちゃう。例えinternalでも権限は最低限しか付けちゃダメ。

    2021-12-22 11:02:34
    • 返信
  • comment_63 より:
    2021年12月22日 7:02 PM

  • くじ:uturned
    さん
    log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 ezoeryou.github.io/blog/article/2… っていうことだよねという

    2021-12-22 19:02:34
    • 返信
  • comment_39 より:
    2021年12月23日 2:02 AM

  • ryumago
    さん
    log4j2はログ出力用のライブラリだな log4jの後継として使ってるところも多かったりするのかな…

    2021-12-23 02:02:06
    • 返信
  • comment_30 より:
    2021年12月23日 8:02 AM

  • カゴナ@ニート
    さん
    LINE「やれ」 log4j「はい...」

    2021-12-23 08:02:30
    • 返信
    タイトルとURLをコピーしました