  |
はてなキーワード: BIBLEとは
多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。
ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。
自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。
OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。
ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。
ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。
「特定のクラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。
その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。
これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。
最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。
攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。
誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。
小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。
そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。
一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/
報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。
「セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品やソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。
京都大学同窓会(京大アラムナイ)、ANA.Japan、スターバックス コーヒー ジャパン Starbucks、Storm、McKinsey & Company、London Business School、Goldman Sachs Asset Management、TBS News(TBSテレビ報道局)、アロマ マーメイド、板野友美(Tomomi Itano)公式ファンページ、CYBERJAPAN DANCERS、きゃりーぱみゅぱみゅ、東京藝術大学、あみあみ そくほう、Yayoi Oguma、森彩香、阿部有加里- Piano、宮村カンナ- Piano、ありよし なおこ / N music salon、東京都 港区、relux、教えて!フェイスブック使い方!、しあわせ信州、Lexus International、風間ゆみ、ヒップス千葉、東京藝術大学版画研究室、池上季実子、名雪佳代(Kayo Nayuki)、安倍なつみ「光へ -Classical & Crossover-」、豊島岩白、静岡フルートアンサンブルアカデミー、大坪理子- Piano、舟山未紗- Soprano、Kaz Matsubara New page、山本ともみ- Trombone、公明党女性委員会、玖優、モデル 玖優、Saint Force、竹内結子、浜崎あゆみ(ayumi hamasaki)、あなたのお庭にリゾートを・・・アトリエ悠庵、日本地域経済再生機構、自由民主党、東京芸術大学、春香 (Haruka)、国境なき医師団日本、国連広報センター (UNIC Tokyo)、吉高由里子、朝クラ(朝クラシックを楽しむ会)、Prime Minister's Office of Japan、音楽家からの贈り物、日本赤十字社、会いに来るバイオリニスト阿部志織-violin、李明純- Piano、別所亜久里(akuri Bessho)、絵師 桜小雪、Social Music Cafe、村田綾、星野和輝、王立音楽大学、東京芸術大学大学院、安田 衣里、みさわさやか- Piano、松山真寿美- Saxophone、山下しおり- Piano、Tasukeai Japan 助けあいジャパン、外務省、長澤まさみ、孫正義、Norika Fujiwara (藤原 紀香)、久留米苅原整骨院整体院(交通事故の認定治療院)、オリンピッククラブ、British Airways、国際芸術連盟、NPO法人 NESげんこつ、土屋鞄製造所、革財布のお店mic&女子のお財布micsucco、Foxy Shot、東京2020オリンピック・パラリンピック - Tokyo2020、小泉 進次郎、文部科学省 MEXT、首相官邸、焼肉 黒牛【代々木】、アクトハウス、誰でも行けるPhotoStudio【DIPS写真館】、岩崎宏美、音楽家たちの晩餐会、望月プロデュース「Canon〜カノン〜」、おもしろ画像放送局、横浜総合建設 株式会社、佐藤綜合法律事務所、鈴木国語研究所、Takagi Business Planning、王立音楽大学、いいね!ロンドン Like! LONDON、OTOME BIBLE、投資銀行が教える!エクセルで学ぶビジネス・シミュレーション講座、Party Press、美人スナップ、Royal College of Music、この画像の最良の推測結果: 大倉 忠義
