アカウント名:
パスワード:
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク攻撃条件の複雑さ: 低必要な特権レベル: 不要ユーザ関与レベル: 不要スコープ: 変更なし機密性への影響: 高完全性への影響: 高可用性への影響: 高
うーんヤバい。log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。まさかアクセスログでインジェクション受けるとは思ってないですよ…。
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
OSにログ機能が無くてもカバーできるようにする為、という辺りかな?PC関係だけをターゲットにするなら無くてもいいだろうけど。
ソフトウェアから見たログの出し方も、Javaの実行環境についてもご存知ない?
ログってのは開発言語上で扱う様々な情報を文字列化できると便利に使える物なので、開発言語に依存しないOS機能がいくらか充実してた所で言語に依存する機能は充実しない。そしてJavaは一度書いたコードが大きく異なる環境でも動かせるというコンセプトを持っているので、コンセプトが機能する範囲において「ターゲット」という概念を持ち出すこと自体何かがおかしい。
前提がいろいろ間違ってるね。なんだかんだいってJavaは割と低レベルまでアクセスできるようになってるので、OS機能が充実していれば楽に使用できるし充実してなければ諦めるか代替機能を作成するようになってる。Pure Javaだけだと使い物にならなかったからだけど。そしてWrite Once,Run Anywhereのコンセプトは実現したことが無い。だから「コンセプトが機能する範囲」というのは存在しない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
CVSSスコアは驚異の9.8 (スコア:5, 参考になる)
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
必要な特権レベル: 不要
ユーザ関与レベル: 不要
スコープ: 変更なし
機密性への影響: 高
完全性への影響: 高
可用性への影響: 高
うーんヤバい。
log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
Re: (スコア:0)
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。
と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。
他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
Re:CVSSスコアは驚異の9.8 (スコア:0)
OSにログ機能が無くてもカバーできるようにする為、という辺りかな?
PC関係だけをターゲットにするなら無くてもいいだろうけど。
Re: (スコア:0)
ソフトウェアから見たログの出し方も、
Javaの実行環境についてもご存知ない?
ログってのは開発言語上で扱う様々な情報を文字列化できると便利に使える物なので、
開発言語に依存しないOS機能がいくらか充実してた所で言語に依存する機能は充実しない。
そしてJavaは一度書いたコードが大きく異なる環境でも動かせるというコンセプトを持っているので、
コンセプトが機能する範囲において「ターゲット」という概念を持ち出すこと自体何かがおかしい。
Re: (スコア:0)
前提がいろいろ間違ってるね。
なんだかんだいってJavaは割と低レベルまでアクセスできるようになってるので、
OS機能が充実していれば楽に使用できるし充実してなければ諦めるか代替機能を作成するようになってる。
Pure Javaだけだと使い物にならなかったからだけど。
そしてWrite Once,Run Anywhereのコンセプトは実現したことが無い。
だから「コンセプトが機能する範囲」というのは存在しない。