アカウント名:
パスワード:
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク攻撃条件の複雑さ: 低必要な特権レベル: 不要ユーザ関与レベル: 不要スコープ: 変更なし機密性への影響: 高完全性への影響: 高可用性への影響: 高
うーんヤバい。log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。まさかアクセスログでインジェクション受けるとは思ってないですよ…。
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
? それが当たり前なのでは?他者が作った物を無条件に信用せず、安全性をソースレベルで確認できるのがメリットでしょう? むしろ確認してないことに驚きですよ。
本来はそうだがソースを見たところでバグを見つけられるわけではない。貴方が使っているライブラリにだって発見されてない多数のバグが存在しててもおかしくないですよ。ちゃんと確認しててバグを取り除いた上で使っているのであれば、その証拠(issueやPRなど)を出せば批判コメントは減ると思いますよ?
> 証拠そんな活動してるとすれば> 当たり前なんて言う訳がないよねそれがいかに当たり前でないかよく分かってるはずだもの
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
CVSSスコアは驚異の9.8 (スコア:5, 参考になる)
RedHatのCVE-2021-44228ページ [redhat.com]
攻撃元区分: ネットワーク
攻撃条件の複雑さ: 低
必要な特権レベル: 不要
ユーザ関与レベル: 不要
スコープ: 変更なし
機密性への影響: 高
完全性への影響: 高
可用性への影響: 高
うーんヤバい。
log4jでアクセスログとか取ってるサーバーは普通に攻撃条件を満たすから範囲が広すぎる。
まさかアクセスログでインジェクション受けるとは思ってないですよ…。
Re: (スコア:0)
そもそもログライブラリーになぜこんな強力な謎機能が実装されてたんだろう。
と今回のニュースを見て多くの開発者が思ったんではないかと。
log4jを使ったことがあるだけにかなり衝撃的だよ。
他者か提供するライブラリーはソースを読むところから始めないといかんのか!?
Re: (スコア:-1)
? それが当たり前なのでは?
他者が作った物を無条件に信用せず、安全性をソースレベルで確認できるのがメリットでしょう?
むしろ確認してないことに驚きですよ。
Re: (スコア:0)
本来はそうだがソースを見たところでバグを見つけられるわけではない。
貴方が使っているライブラリにだって発見されてない多数のバグが存在しててもおかしくないですよ。
ちゃんと確認しててバグを取り除いた上で使っているのであれば、その証拠(issueやPRなど)を出せば批判コメントは減ると思いますよ?
Re:CVSSスコアは驚異の9.8 (スコア:0)
> 証拠
そんな活動してるとすれば
> 当たり前
なんて言う訳がないよね
それがいかに当たり前でないかよく分かってるはずだもの