Log4J

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…

本記事は下記URLに移動しました。５秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。（お疲れ様です・・） アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 ＊動作検証は厳密に行っていなので参考程度に見ていただければと思います＊設定イメージ解説にパロアルトネットワークス社の次世代ファ…

某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性（CVE-2021-44228） Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか？ (Javaをほとんど触ったことがない人がまとめます。) Log4gって何？ そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…

はじめに セキュアスカイ・テクノロジー（以下、SST）、システム＆セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内（いわゆる情シスの視点）で実施している対応の一部を可能な範囲でご紹介します。 www.jpcert.or.jp SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当（や情報システム担当）が…

はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…

今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w （ワンサイズ大きいのを推奨） a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…

クリスマス前に大騒ぎですが，Japan VMUG もアクティブメンバーのみなさんが昼夜を問わずに情報整理・提供してくれていて，本当に頭が下がります．VMware 製品群に関しては，VMSA-2021-0028 が公開された直後は Workaround は vROPs くらいしか情報なかったのですが，やっと vCenter の Workaround も KB87081 として公開されたので，早速 7.0.3 の vCSA に適用してみました．すぐに日本語化されるとは思いますが，困っている初心者の方もいらっしゃるかと思いますので，一通り手順を書いておきたいと思います． 0. vCenter へ s…

IT 「非営利のOSS開発者や組織が法的、金銭的責任を負う恐れ」――Python Software Foundationが欧州の法案に懸念：「OSSの革新やセキュリティを阻害しかねない」 - ＠IT https://atmarkit.itmedia.co.jp/ait/articles/2304/24/news027.html やりたいことはわからないでもないんだけど無理があるよなぁ……。 誰もメンテしなくなってしまう。関連 オープンソースの開発者が製造責任や賠償責任を負う可能性があるとして、EUのサイバーレジリエンス法案にPython Software FoundationとEclipse …

こんにちは、Orca Security 担当の尾谷です。 少し前の話ですが、2021年の末に Apache Log4j の脅威が見つかりました。CVSS (共通脆弱性評価システム) で脅威の 10.0 と評価され、いろんなサイトでまとめ記事が公開されました。 そのあとは、2022 年の春に Spring Framework の脆弱性が見つかりセキュリティ業界では非常に話題になりました。 今日は、Orca Security がその脅威に対応しているか？判断する方法をご紹介させていただきます。 トレンドの脅威を検知しているかどうかはひと目でわかる トレンドの脅威に関しては News で確認ができま…

今回、Hive3.1.3をDocker上で立ち上げ、HiveServerにリモートデバッガをアタッチしてHiveServerの処理を詳細にデバッグする環境をセットアップします。開発環境はIntelliJを前提としてます。 公式にHive用のDockerImageを提供するIssueがHive4.0.0で導入されており、この周辺のコードを流用します。 [HIVE-26400] Provide docker images for Hive - ASF JIRA hive/packaging/src/docker at dd3fd775406c2d621c42ef1adce2fa0f3b9acd39…

ポッドキャスト収録用のメモですよ。 podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。 事件、事故 富士通Japan が自治体向けに提供するコンビニ交付サービスで、他人の証明書が印刷される障害が新たに発生 FBI が犯罪活動に利用されていた 9つの暗号資産交換サービスを摘発 欧米の法執行機関の協力により "Monopoly Market" が摘発され、違法薬物の取引などに関わった 288人を逮捕 攻撃、脅威 Coveware が 2023年第 1四半期のランサムウェアレポートを公開 警察庁と NISC が連名で DDoS 攻撃への注意喚起 JPCERT/…

実は「Apache Log4j」事件以前から、ソフトウェア管理台帳を作って利用しようという話はあった。米国バイデン政権は、2021年５月のサイバーセキュリティ強化に関する大統領令で、ソフトウェアのサプライチェーン強化を謳いSBOM（Software Bill of Materials）に言及している。 SBOMがまさに上記の管理台帳にあたるのだが、膨大過ぎる対象を登録することができるとは、多くの関係者が考えていなかった。しかし大統領令に触れられたことから、SBOM登録は少なくとも米国政府調達の要件にはなると思われ、前向きに考える人が多くなった。この管理台帳には、次の項目が集約されている。 ・台…

環境 Kubernetes 1.26 やりたいこと GROWIの最大の特徴は、マークダウン記法でかけることだ。これにより、シンプルで見やすい文書を簡単に作成できる。 さて、今回の本題は、GROWIをKubernetesにデプロイする方法だ。Kubernetesは、複数のコンテナを管理するオープンソースのシステムであり、スケーラビリティや可用性の高いアプリケーションを構築することができる。 おおよそのひな壇は公式が出しているdocker-compose.yml これをKomposeを使ってk8sの構成ファイルに変換していく。 https://github.com/weseek/growi-doc…

【要点】 ◎北朝鮮のサイバー攻撃組織 incidents.hatenablog.com 【目次】 概要 【別名】 【関連組織】 【辞書】 【概要】 【最新情報】 記事 【まとめ】 【ニュース】 【ブログ】 【公開情報】 【資料】 【IoC情報】 【図表】 関連情報 【関連まとめ記事】 概要 【別名】 名称 命名組織 Lazarus Hidden Cobra 米国政府 Dark Seoul Labyrinth Chollima Group 77 Hastati (Group) Bureau 121 Unit 121 Whois Hacking Team NewRomanic Cyber Army…

はじめに こんにちは、ACS事業部の谷合です。 先日Githubから、SBOMのエクスポート機能が提供されたとのアナウンスがありました。 github.blog ちなみにSBOMとは、Software Bill of Materialsの略語であり、ソフトウェアのコンポーネント、 ライブラリ、ツール、およびプロセスを部品とみなし、それらを可視化 した一覧表です。 2021年末に発覚した「Log4j」の脆弱性などをきっかけにソフトウェアサプライチェーン における 脆弱性に注目が集まったことで、ソフトウェアの依存関係を可視化する取り組み として注目されています。 また、現在米国では大統領令にて、政…

こんにちは。msnです。前回、【Java&BE】マイクラサーバーにおける基本的な知識 という記事を書いたのですがその際IPを外部に公開することについての危険性に少しふれました。しかし！！すごく難しいことなので初心者向けの記事に書く内容でもなく書ききれる内容でもなかったのでもう一つ記事に書くことにしました。(今回も長くなりそうなので目次付きです。) 基本 IPを公開するとはどういうことなのか IPを公開する危険性 攻撃 DoS攻撃 DDoS攻撃 EDoS攻撃 ゼロデイ攻撃 ランサムウェア 法律 発信者情報開示請求 サイバーセキュリティ基本法 電子計算機損壊等業務妨害罪 不正アクセス禁止法 プロバ…

先日の logbackのログファイル出力設定をプログラム処理から参照する。 - Oboe吹きプログラマの黙示録 と同様に、log4j2 においてログファイル出力設定をプログラム処理から参照する。 ログ設定のサンプル <?xml version="1.0" encoding="UTF-8"?> <Configuration status="off"> <Properties> <Property name="format1">[%d{yyyy-MM-dd HH:mm:ss.SSS}],[%-5p],[%c#%M]-%L, %m%n</Property> </Properties> <Append…

マネックス証券 システム管理部のHです。 はじめに 日々アプリケーション開発をする上で使用しているOSSの脆弱性というのは気にすべきことではありますが、開発作業に集中しているとOSSの脆弱性を確認するというところまではなかなか手が届かないことと、インターネットに出ない閉じたネットワーク内でのシステムだからいいや・・・と思うことがあるかと思います。 そういった状況で自分の代わりに自動でチェックする仕組みがあるといいなと思い、CI/CD内で脆弱性のチェックを行う仕組みを検討します。 やりたいこと CI/CDとしては、AWS CodePipelineを使用し、パイプライン内のビルドツールとしてAWS…

図解入門 よくわかる 最新 サイバーセキュリティ対策の基本 (How-nual Visual Guide Book) 作者:福田敏博 秀和システム Amazon 近年、サイバー攻撃の手口は、より高度に巧妙に変化しています。しかし、従来のセキュリティ対策は変化に対応できず、会社の資産を守ることが難しくなっています。本書は、一般のビジネスパーソンはもちろんセキュリティ担当者や経営者のために、サイバーセキュリティの基本から事例分析、攻撃の仕組み、リスク対策まで図表を用いて総合的にわかりやすく解説した入門書です。あなたの会社のサイバーセキュリティ対策の進め方がわかります。 第1章 サイバーセキュリティ…