アカウント名:
パスワード:
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク攻撃条件の複雑さ: 低必要な特権レベル: 不要ユーザ関与レベル: 不要スコープ: 変更なし機密性への影響: 高完全性への影響: 高可用性への影響: 高
うーんヤバい。log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。まさかアクセスログでインジェクション受けるとは思ってないですよ…。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
ログ爆弾とかゴミ箱爆弾とか全世紀から想定されていた手法かと集積や解析の場はターゲットに最適みたいな忘れた頃に穴が生み出されるものなんですよ
全世紀からとは大きく出たな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
CVSSスコアは驚異の9.8 (スコア:5, 参考になる)
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
必要な特権レベル: 不要
ユーザ関与レベル: 不要
スコープ: 変更なし
機密性への影響: 高
完全性への影響: 高
可用性への影響: 高
うーんヤバい。
log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
Re: (スコア:0)
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
ログ爆弾とかゴミ箱爆弾とか
全世紀から想定されていた手法かと
集積や解析の場はターゲットに最適みたいな
忘れた頃に穴が生み出されるものなんですよ
Re:CVSSスコアは驚異の9.8 (スコア:2, おもしろおかしい)
全世紀からとは大きく出たな