「log4j」を含む日記 RSS

はてなキーワード: log4jとは

2024-03-22

anond:20240322232502

GAFAエンジニア99.99%が持ってないで

そのセキュスペっての持っててもlog4jさえノーガード戦法じゃ意味なくない?

anond:20240322231035

Log4jパッチとか検証してから当てたの?

ノーガード戦法やん

anond:20240322224245

ここ2年ちょっとで一番でかかったのはLog4Jかな

最悪システム乗っ取られる

2024-02-20

ChatGPT(と、その他のデカい面したChatbot)による社会ハッキング方法100選

汚染

ナチ礼賛する感じのデータを与えて最悪な助言をさせる。実際にChatBotとのやりとりをもとに自殺した人が存在する。

他の攻撃の足がかりにもなる。

権威を振りかざす

これも基本技で、権威品質保証させた上で恐ろしいことを起こしてトドメをさす。

  • Chatbot様がこうおっしゃっているのだぞ、と、詭弁押し付け
    • 汚染によって被攻撃者が飼っているChatbotにも同じ詭弁を喋らせれば確実に効く

間違った知識を広める

これはChatbotのパッシブスキルでもある。

デマゴーグGoogleサジェスト汚染からの間違った記事トップに出てくるコンボ有効性は実証済み。

社交性の高いエンジニアは、意図せずにこの攻撃を行うことを「ハルシネーション」が起きたと、幻覚でも見てるかのようなうわ言でごまかす。

間違った文言大事場所放置する

Chatbotが出したソースコードを置いて、レビューは「Chattyが言ったんですもの」で済ませる(済ませられた場合、暗に「権威振りかざし」攻撃が成立している)。後々クソバグる。

log4jが逝った時大変だったろ?残業したくなきゃやめとけ。

最大コンボ局所的なカルト複数作ってトーナメントを開く

汚染」して「間違った知識を広める」ことでエコーチェンバーを作る。

各々のエコーチェンバーに「権威振りかざし」バトルをさせ、蠱毒原理でクソデカカルトを作る。

そうこうしている内に、それぞれが日々の労働をChatbotに頼って行い「間違った文言大事場所放置」していたものが爆発する。

めちゃくちゃになった世界の中心では獣が叫びながら、遍くワクチンの接種を拒み、いかなる疾病をも陰謀と断じる。

100分de名著ローティ篇第3回「言語虐殺さえ引き起こす」

https://x.com/hee_verm/status/1759564599987478894?s=20

面白かったから勢いで書いた。

まあ、知識をつけながらバズってるブクマ(だいたい本文読んでねーーーバカ適当根拠のない自論をお披露目する糞放り出し会場になってる)くらいの信用度でChatGPT等々使って、裏付けとったら有用なんじゃないすかね。

単に産業革命時の機織りと違うのは品質の低下が生む「結果」なんだよね。服がスカスカでもそこまで困らんし、目に見えるから直せる。知らんけど。

2022-03-16

NTTにはセキュリティ専門家がいない

docomoの平文保存が話題だけど、そもそもNTTの中にはセキュリティ専門家なんていないからな

平文保存みたいなことを平気でやる一方で逆にクラウド一切信用しないマンみたいなのもいたり

GitHub禁止とか社内網をプロキシガチガチにしちゃってるのに

一部のクラウドサービスはザルになってて(接待でも受けたんだろうね)シャドーIT天国になってたりする

ちなみに研究所にはセキュリティ研究者暗号研究者とかはいるんだけど

システムセキュリティ監査的なことが出来る人はいない

ペネトレーションテストっていう意味は知ってても実際に出来る人はいない

子会社に行くとそもそも意味を知ってるかどうか怪しい(知ってたら外注すると思う)

ただ部署としては各子会社が「情報セキュリティ部門」みたいなのを作ってるんだけど

実際に業務してる中の人地方から参勤交代人事異動してきた素人

トップにいる人も前職は法人営業してた人とかで

「〇〇県の教育委員会ITシステム納入実績あり」→「ということはセキュリティ分かるよね?」

って感じで素人が座るポストになってる

一週間ぐらいの研修受けたら「スペシャリスト認定」みたいなの貰える

「我が社には専門家が多数在籍!」

とかはそういうこと

そのくせに多大なる権限を持っているので、業務効率化のために社内サーバを建てようとしてもデフォルトDenyになってる

仮に設置しても四半期に一度はエクセルでできたセキュリティチェック表をPDF化して上長手書きサイン貰うとかそういうレベル

(さすがに今は手書きサインしてないと思う)

社外向けにクラウドサーバ構築する時も導入必須ソフトウェアがズラーッと並んでて

「このソフトはこの機能代替できます

「このソフトがやってることなスクリプト2行で終わります

かいうのを指摘しても

規則なので導入してください」

一点張りっていうお役所丸出しの人達しかいない

当然土日とかは返事が無いのでlog4jときも週明けになってようやく

Log4jを使っている人は集計Excel記載よろしく

みたいなメールが届いたりするレベル

平文保存なんて全然不思議じゃ無いな

ちなみに苦情とか改善要望を上げても上長はまだしもその上の偉い人とか役員重要性がさっぱり分かってないからどこかで消えてしま

問題が起きたらどうするか?もちろん揉み消す!流石だね!

2022-02-26

anond:20220226101336

どっちも修正パッチというよりどっちもマルウェアだね

log4j問題の時、件のセキュリティホールを利用してパッチを当てるマルウェアが出たらしいけどワクチンはそれだね

(横)

2022-01-31

Log4jとかFaker.jsも「従業員数250名以上かつ年間売上高1000万ドル以上の組織お布施しろ 教育機関、非商用のオープンソースプロジェクトでは引き続き無料で利用させたるわ」ってすればウハウハじゃん

2022-01-26

cURLlog4j問題質問がされる件

オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る - Publickey について思ったことをつらつらと。

概要

log4shell と呼ばれる脆弱性が 2021 年 12 月にあった。これは Java というプログラミング言語プログラムする際に、動作ログを記録するのに非常によく使われるライブラリ log4j にとても危険脆弱性があった。なにがそんなに危険かっていうと

マインクラフトサーバが乗っ取られたとか被害も有名。詳細は Piyolog さんの Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog あたりを参照。

そんなわけで即座に影響範囲脆弱性のない新しいバージョンになっているか調べろ!って IT 関連企業はとてもバタバタしていた。

という背景の中、オープンソースソフトウェアである cURL の作者にとても失礼な log4j問題に関する質問メールが送られてきて、「サポート契約すれば即座に教えてあげますよ」ってかっこいい返しをして盛り上がっている。

cURL とは

cURL (https://github.com/curl/curl]) はオープンソース(以下 OSS)の通信ライブラリコマンドラインツールLinux などのサーバからファイルダウンロードしたりするのにとてもよくつかわれるライブラリ

C言語で書かれている。

ライセンスMIT を参考にした独自ライセンス https://curl.se/docs/copyright.htm]

つっこみどころ

OSS基本的に無保証提供される。そのことはライセンスに明記されている。

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

そんな OSS に対して、

あなたがこのメールを受け取ったのは、■■があなたが開発した製品採用しているためです。私たちはこのメールあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」 

といった上から目線メール開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題名前のとおり log4j脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシー名前つけてあそんでんじゃねーとも思う。)

しかも緊急性の高い脆弱性に今ごろ質問?って感じ。

なお cURL はどうやら開発者Daniel Stenberg 氏が wolfSSL というところを通じて商用サポート提供しているらしい。 https://curl.se/support.html]

ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」 というのはネタでもなんでもなく、普通対応

でもこの返しかっこいいしあこがれちゃう

そしてブログに書いてある2回目の返信で、David名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。

なんでこんなメールが送られてくるのか

あくま経験想像だけど

こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このとき担当大丈夫です!って回答するときエビデンス証拠)を求められるのだけど、クソな情セキは自社の担当言葉を信用せず、開発会社からの言質をとれ!って命令するので、くそメールスパムされるという背景があったりする。(担当無知だったりイケイケだと、とにかく下請けやらせればいいというパターンももちろんある)

そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。

加えて担当レベルになると大手は「そんなん下請けやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。

理由

もちろん担当者はピンキリからこうとは限らないけど比較的多い印象。

ま、これ今回 Daniel Stenberg 氏が公表たからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的ムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News

ほんと IT 業界地獄だな!

小さいところは

とかであんまり上から目線でこない感じはするけど、これはあくま個人資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。(個人の感想です

この手のメールになんでカチンとくるのかって言えば

ということで、皆ちゃん保守サポート契約して、契約範囲質問しような!

そして金払ってても相手人間なんで、お互い敬意をもって接しような!

その他諸々

Public Key でこの件にからめて記載されている奴について

OSS「faker.js」と「colors.js」の開発者自身ライブラリ意図的改ざん 「ただ働きはもうしない」

https://www.itmedia.co.jp/news/articles/2201/11/news160.html]

ちな、これ詳しくないんだけど、OSS 作者が 「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」 というのもよくわからないんだよなぁ。

火事財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ!ってのが辛いのはわかる。が、OSSライセンス的に支援義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキーム必要だったのかもしれない。

あと個人開発で、善意でこれ便利だろ?って公開しているものに対して、辛辣言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。

ブコメフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS理念である自由ソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス最近Redis とか Mongo みたいに。

ただ、金欲しいとか大体 Donation 募集したりするとかやってると思うんだけど、そういうのもあったのかなかったのかがよくわからにぃ。ポートフォリオになるので、採用にはつかえるんじゃないのかね?

じゃなきゃ GitHub に Public でコード公開しないと思うんだけどな。いまいちピンとこないのであんまり言及しない。

RedisMongoDB、Kafkaらが相次いで商用サービス制限するライセンス変更。AWSなどクラウドベンダによる「オープンソースのいいとこ取り」に反発

https://www.publickey1.jp/blog/19/redismongodbkafkaaws.html]

で、商用ライセンス問題。これ今回のくそムーブ問題じゃないのここに並べられるのに非常に違和感がある。なんか OSS大企業対立を煽るようなミスリードを誘っているように感じてしまう。

大手クラウドベンダOSSライセンスに則って利用・改変するのは問題がない。つーか儲かってるから金よこせっていうのはちょっと違うんじゃないかなと思う。

オリジナルを開発した会社リスペクトされず、商業的に儲からないってのは、心情的、道義的、人気的にどうなの?クラウドベンダも金払ってあげれば良いんじゃないの?とは思うよ。(2社は協業したけど)

ただ、オープンソースで公開するということは次のような利点を求めてするこって、それがイヤならプロプラで良いわけさね。

Apache License 2.0 とかのライセンスOSS として公表しているものの利用をフリーライド表現するのも、それがなんか嫌儲Evil ってのはちょっと判断できないかなぁ。

大手が自社でメンテできてしまう(できるようにする)というのは経営戦略であり、開発元がクローズにするってのも経営戦略。罵り合い合戦ちょっとなぁという感じ。

OSS理念的に改修した分は元のソースもっとフィードバックしろよってのはあるけど AGPL とかで出してないんだよなぁ。

この辺は賛否両論色々あるので気になったら調べてみて。

以上。ご査収ください。

2022-01-17

よく「ソースコード脆弱性診断サービス」の売り込みに来るけど、あれってコスト掛けるほど効果ある?

診断を頼んだところは「Log4j」の脆弱性なんかもとっくに把握していた?

2021-12-17

ぶっちゃけ Log4j 2 の対応どうですか

多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています

ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。

今回の難所の一つに影響範囲特定があると思います

組織Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったこからアナウンスを待つ前に対応必要だったところもあると思います)。

OSS なら依存パッケージ比較的調べやすいですが、SplunkSalesforce のようなアプライアンス製品などはどうでしょうスイッチルーターは? クライアントJava アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。

ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います

ゼロデイだったため、最初対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。

特定クラスファイルを削除する」という正しい対策も、「えっ マジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策

その他 Web Application Firewallバイパスなど、ご対応された皆さん、本当に大変だったと思いますお疲れ様です。

ところで、私はもっと日本人情報共有しろよと思いました。

これも全部 Wizard Bible 事件アラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。

最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMIかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。

攻撃メカニズムなどを解説してくれている記事があれば、最初からわず頑張ってアップデートする方向に舵取れたと思う。

誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。

小学校で配られた端末のセキュリティ突破話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。

そういえば情報共有でいうと CISA は動きが素早かった。最初個人gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db網羅され始めた。Pull Request も取り込んでいて、素晴らしい。

一方で JVN DB の方はどうでしょうhttps://jvn.jp/vu/JVNVU96768815/

報告を受けている製品しか書いていないのですかね。国内製品もっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。

…と愚痴をダラダラと書いてしまって申し訳ない。

セキュリティ業界このままじゃダメだと思うのですが、なにか動きはあるんですか?」「皆さん利用している製品ソフトウェアの把握どうされているんですか? 」の2点をお聞きしたかったのです。

んで結局log4j問題個人がやることはなに?

アプリサーバーを動かしてる側が対応する問題

ただの利用者である個人対応できない問題

2021-12-14

日本人ってホントミスが嫌いだよね

なんかうちのソフトウェアバグが見つかったらしくて

それの修正をやってるらしいんだけどホント不毛

まずはバグの原因を突き止めてそれが何故テストをすり抜けたか調査

調べてみるとテスト中に出てくるエラーメッセージ微妙に違うけど気付かずにスルーしてしまったらしい

再発防止策としては社員マインド醸成とか言い出しててアホかと

上流工程もっと詳細な検討をするべきとかも言い出しててホントアホかと

そんでその報告書を大量に作ってるんだけどその間バグ放置

報告書上司上司上司まで報告し終わったらようやくバグ改修の予算下りるらしい

そんでその予算を使って契約書作って上司上司上司まで承認を貰えたら修正開始

修正のものは3行ぐらいなんだけど、もう一回テストやり直すんだって

多分だけどマインド醸成するための研修とかもやることになるんだろうね

この手の人達アジャイルいくら説いてもそりゃぁわからんよなぁ

要するにこの手の人達って骨の髄からミスが嫌いでこんなことになってるんだと思う

電車が遅延するとか、お釣りを2円間違えてるとか、書類の提出が1日遅れたとか

そういうのが大っ嫌いな国民性からソフトウェアバグ根本的に嫌いなんだと思う

「よく考えて作れば間違いは起こらないよね?」

ちゃんとチェックしたの?」

とかそんなことばっかりやってる

ミスは必ず起きるもの

「だからミスを起こさないように気をつけましょう」

とか平気で言ってくるんだもんな。どうかしてる

あと、心の底では機械を信頼していないっていうのもあると思う

自分理解できないことを信頼しない、みたいな感じ

コンバインで刈ったお米よりも手作業で刈ったお米の方が美味しいと思ってる

Excel計算した数字よりも、自分電卓叩いた方が正しいと思ってる

電卓の中身は分かってないのだが、電卓はもはや自然の一部だと思ってる)

ちなみに本当にExcelは間違えることがあるのでタチが悪いのだけれど

そもそもExcelを使う利点は「入力すべき数字だけを入れれば、必要としている数値や情報自動的計算される」という点にあるんだけど

そこまでいくともう信用されない

なのでプログラミングみたいなことをやるときにも「信用できない」っていう前提で作るから

とにかく慎重に作るし、間違いが無いように丹精込めてじっくりゆっくり作る

テスト自動化なんてもってのほか

人間が指さし確認Excelの表を一つ一つ埋めていくし、それをダブルチェックする

誇張でもなんでもなくて、割とこういう開発は日本中で行われてる

結局彼らにアジャイルマインドを教えるのなんて天動説を信じてる人に地動説を教えるぐらい不毛な話なんだと思う。

天動説が廃れたのは、ただ天動説を信じてた人が死んでいったから、という話と同じで

この手のマインド人達が定年して退場して頂くまでこれは続くんだろう

ただ、若手が彼らのマインドを引き継いでいる様子もあるので地獄しか待っていない気もしなくはないが・・・


ちなみにLog4jのことは昨日知ったらしくこれから対処予定らしい。

「WAFで防御できるので修正不要かと思われます

とか言ってて、よく分からない仕事をしないことにかけてはピカイチなんだな、と思う。

Log4j全然騒がない弊社

割と大きめの会社なんだけどLog4j全然騒いでない。

知らないところでやってんのかなーって思ったけどどうやら本当に他人事みたい。

金曜日に発覚して以降、世間だと土日潰して対応してたりするのに

弊社だと月曜日夕方ぐらいに「こんな脆弱性あるので対象の人は対応してください」とかメールが来て終わり。

うちの部署Java使ってないか関係無いんだけど、他の部署標準的Java使ってるはずなんだけど・・・

そもそも社内システムJavaからLog4j使ってると思うんだけど何の連絡も無いぞ・・・

俺の知らないところでJavaって二つあったりするの?

2021-12-13

増田おかしくなってたけど

log4j問題のせいか(アプデしようとしてミスったとか)?

って増田に書こうとしたけどおかしくなってたから無理だった

2021-12-11

anond:20211211042626

問題の源流をどこに求めるかも大事だが

この件の最大のミスは、大半の人間必要としていないどうでもいい(しかも過剰にパワフルな)機能デフォルト有効にしてリリースしていたことで、それは言語とは独立していると思う

第一引数にlookupを含む文字列が入るとフォーマットプロセス操作される可能性があることを理解していないユーザー問題だが、それでもLDAP経由でclassダウンロードしてRCEできるとならなけりゃここまで問題にはならなかったのだからユーザー側の責任log4j側に比してだいぶ小さい

log4j増田

よそから入ってくるものがよく分からん

HTML 出力し得る文字列HTML 特殊文字を全部エスケープして、内部からのものエスケープしているので二重エスケープになっているのが増田

ログフォーマット文字列ユーザ入力値を入れる人がいたのが今回の問題

自分よりできる人までlog4j脆弱性の経緯の理解が間違ってる気がしてもにょる

log4j自体問題なのは当然だけど、

ブコメ分散オブジェクト指向と書いてる人がいたけど、

その辺の指摘が正しいのではないかと思うんだけど

そもそもJava分散オブジェクト指向流行したのが問題歴史的な発端だと思ってる

まりRMI(いわゆるRPC)とかCORBA(それは紛れもなくヤツさではないです)とかHORB(産総研だっけ?)とか、

ネットワーク透過だのRPCスケルトンだの、そういう話が発端な気がする

から、なんでそんな変なことわざわざやるの?という話は、

そういう分散オブジェクト指向だのネットワーク透過だの、

まりインターネット上ではマシンは当然ネットワークで繋がってはいるけど、

別々のマシンであって、マシンAとマシンBは分断されている

でも、クラスタリングとかされたネットワークの中で、

マシンAのJavaプロセスマシンB上のJavaクラスを読み込んで実行できたり、

マシンBに肩代わりさせても、それを意識しないように書けると便利だよね、

という話であって、

ぶっちゃけ、今になっても、

例えば異なる言語プロセス通信するためにRPCはあるし、

世の中的に、今はJavaよりイケてると思われてる言語にも、この手のネットワーク透過にする機能とか、

よー知らんけど、クラウドコンピューティング()だなんだの機能としてあっても不思議ではない気がする

昔で言うなら、ソニーのTelescriptとかよー知らんけど、

エージェントだのエージェント指向だのが流行したけど、

ネットワーク上の複数マシン渡り歩くプロセスというかプログラムみたいなのが実現できるのって、

今になって考えてみると脆弱性の温床でしかない気がするし、理解はできる

理解はできるが、じゃあ、まったくメリットがないのかというとそうでもなくて、

しかし、Javaのかつての流行放置されたままになってるとか、そういう問題はあるわけで、

その辺がセブン&アイだったかの、Struts2のOGNLインジェクションもそんな感じで、

ぶっちゃけマシンAからHTTPマシンBのJavaクラスとか実行できたら便利だよね、みたいな話で、

でも、それはマシンAとマシンBが信頼関係があり、

マシンAとマシンBが外のネットワークと敷居があるという前提があるから問題がないのであって、

CGIでもよくあったけど、サーバー側の任意コマンドを実行できるというのは、

サーバー状態監視するとかには便利だけど、当たり前だけど危険だよね、という話であって

眠くてまとまらない…

おやすみ

あ、言い忘れるところだった

知らんけど

Log4jがなんで人気だったのかそもそも

Javaには純正のLoggerがあって

まぁ確かに使いにくいけど自分で使いやすいようにラッパー作ればそれで十分なのに

なぜか猫も杓子もLog4j使いたがってて昔から嫌いだった

別にしたことしてないし大した機能も無いくせに

ログ出力」みたいな全ソースに影響が出るようなライブラリでなぜみんな使いたがってたのかホント

今回みたいなことはさすがに想定外だろうけど

そうでなくてもサポート終わりますとか、依存関係で使えなくなりましたとかあると全部のソース書き換えとか影響デカすぎでしょ

なるべく使わないようにしてきたけど依存関係対処必要だしホントむかつく

そしてこれでJavaは本当に終わってしまうのかも、と思うと悲しさもある

2021-12-10

log4jからldapアクセスできて誰が嬉しいんだろう?

ああそうか、ハッカーが嬉しいのか。

Log4j脆弱性

なんとなくRMI絡み?ぐらいしか分からんけど、

なんでもネットワーク透過みたいなの怖いなぁ…、

と思いました

知らんけど

 
ログイン ユーザー登録
ようこそ ゲスト さん