Log4J

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…

本記事は下記URLに移動しました。５秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。（お疲れ様です・・） アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 ＊動作検証は厳密に行っていなので参考程度に見ていただければと思います＊設定イメージ解説にパロアルトネットワークス社の次世代ファ…

某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性（CVE-2021-44228） Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか？ (Javaをほとんど触ったことがない人がまとめます。) Log4gって何？ そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…

はじめに セキュアスカイ・テクノロジー（以下、SST）、システム＆セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内（いわゆる情シスの視点）で実施している対応の一部を可能な範囲でご紹介します。 www.jpcert.or.jp SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当（や情報システム担当）が…

はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…

今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w （ワンサイズ大きいのを推奨） a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…

クリスマス前に大騒ぎですが，Japan VMUG もアクティブメンバーのみなさんが昼夜を問わずに情報整理・提供してくれていて，本当に頭が下がります．VMware 製品群に関しては，VMSA-2021-0028 が公開された直後は Workaround は vROPs くらいしか情報なかったのですが，やっと vCenter の Workaround も KB87081 として公開されたので，早速 7.0.3 の vCSA に適用してみました．すぐに日本語化されるとは思いますが，困っている初心者の方もいらっしゃるかと思いますので，一通り手順を書いておきたいと思います． 0. vCenter へ s…

japan.zdnet.com ⇧ お金の問題ですかね...オープンソースは一部の人たちの善意で成り立っているような部分もありそうですし... Apache Log4jとは？ どうやら、 logging.apache.org https://logging.apache.org/ ⇧ Apache Logging Servicesというプロジェクトの1つで管理されているライブラリらしいですと。 ちなみに、上記以外にも、 github.com ⇧ logとJavaで絞ったところ、Javaでlogに関係しそうなライブラリは他にもある模様。 Log4jは、バージョン1系と2系があるらしく、2系を使う…

はじめに Windows向けの説明です。 ポートフォワーディングということをするので、セキュリティーが低下することになります。まあ、普通にやればどうってことないと思いますが、一応。とにかく、自己責任ってことでよろしくお願いします。 Minecraftの脆弱性への対策について、注意すべき項目が2点あります。確実に設定しましょう。 www.minecraft.net この方法では、仲間内での利用程度にとどめておくことを推奨します。不特定多数のプレイヤーを入れるような用途には不向きです。 目次 はじめに 目次 準備 サーバーを作る サーバーの運用 サーバーの起動～停止 コマンドについて サーバー設定…

概要 AWS 関連 セキュリティ関連 IT 関連 その他 概要 読んだものを積んだだけのなにか。 AWS 関連 (2023.02.26) [アップデート]AWS Security Hubが統合コントロールビューと統制結果の統合に対応しました | DevelopersIO すぐに直接影響はなさそうだけど備忘。 ASFF(AWS Security Finding 形式) AWS セキュリティサービス、およびサードパーティー製品の統合からの結果の使用、集約、整理、優先順位付けを行うことができます。Security Hub は、これらの結果を、AWS Security Finding 形式 (ASFF…

国際情勢が緊迫し経済の混乱もあって、サイバー空間では工作員や犯罪者の蠢動が急増している。こうした脅威に最前線で対応しているのがいろいろな機関のSOC（Security Operation Center）である。その実態については、あまり世間には知られていない。もちろん機密事項もたくさんあるのだが、SOCについての理解を得るために、紹介できる範囲について見学者を受け入れているところもある。今回そんなイベントに参加して、あるセキュリティベンダーのSOCを訪問し、いろいろ教えてもらった。 都内にあるこのSOC、国内の多くの企業からの委託を受け、 ・その企業のITシステムを監視し ・異常を検知した場合…

はじめに 2022年の海外セキュリティスタートアップの市場環境 2022年の海外セキュリティスタートアップの3つの注目トレンド トレンド1: ソフトウェアサプライチェーンを対象にした開発者向けセキュリティSaaSの増加 プラットフォーム化を狙うプレイヤーの巨額調達 Apiiro Chainguard 特定の領域に強みを持つプレイヤーの誕生 Socket Arnica 新規プレイヤーの大型シード調達とステルス解除 Ox Security Endor トレンド2: コンプライアンスチェックの自動化SaaSの競争激化 トレンド3: プライベートエクイティファンドによるセキュリティスタートアップの巨額…

Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いまし…