Apache Log4jライブラリに致命的なリモートコード実行のゼロデイ脆弱性 1
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
Java製のログ出力ライブラリ「Apache Log4j」にリモートコード実行(RCE)のゼロデイ脆弱性が存在することが明らかになった。
この脆弱性を悪用するために特別な設定は不要で、「Apache Struts2」、「Apache Solr」、「Apache Druid」、「Apache Flink」などが影響を受けるとのこと。
プログラムでJavaを導入しているところはLog4jも入っているものと考えると影響は広範囲に及ぶものと見られ、GitHubではApple、Steam、Minecraftなどでの実証した画像が公開されている。
https://github.com/YfryTchsGD/Log4jAttackSurface
情報元へのリンク
これかなりヤバそう (スコア:1)
タレこもうと思ったら既にあったのでコメント。
はいはいまた脆弱性ね。と思ってたら、解説見るとリモートからお気軽に任意コード実行可能過ぎてヤバい。
しかもlog4jなんて、Java界隈では一時期デファクトスタンダードでどのサーバーにもとりあえず入ってる可能性があって、アクセスログとかで入力値が入ってるパターンも多いだろうから、二重三重にヤバい。
log4jの脆弱性について(ドワンゴ江添亮氏の解説) [github.io]
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か [itmedia.co.jp]
マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】 [impress.co.jp]
JDKのバージョンによっては起きないって話も見かけたものの、アップデートしてない環境もあるだろうし、影響大きそう。