Log4J

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…

本記事は下記URLに移動しました。５秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。（お疲れ様です・・） アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 ＊動作検証は厳密に行っていなので参考程度に見ていただければと思います＊設定イメージ解説にパロアルトネットワークス社の次世代ファ…

某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性（CVE-2021-44228） Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか？ (Javaをほとんど触ったことがない人がまとめます。) Log4gって何？ そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…

はじめに セキュアスカイ・テクノロジー（以下、SST）、システム＆セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内（いわゆる情シスの視点）で実施している対応の一部を可能な範囲でご紹介します。 www.jpcert.or.jp SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当（や情報システム担当）が…

はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…

今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w （ワンサイズ大きいのを推奨） a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…

クリスマス前に大騒ぎですが，Japan VMUG もアクティブメンバーのみなさんが昼夜を問わずに情報整理・提供してくれていて，本当に頭が下がります．VMware 製品群に関しては，VMSA-2021-0028 が公開された直後は Workaround は vROPs くらいしか情報なかったのですが，やっと vCenter の Workaround も KB87081 として公開されたので，早速 7.0.3 の vCSA に適用してみました．すぐに日本語化されるとは思いますが，困っている初心者の方もいらっしゃるかと思いますので，一通り手順を書いておきたいと思います． 0. vCenter へ s…

はじめに 2022年の海外セキュリティスタートアップの市場環境 2022年の海外セキュリティスタートアップの3つの注目トレンド トレンド1: ソフトウェアサプライチェーンを対象にした開発者向けセキュリティSaaSの増加 プラットフォーム化を狙うプレイヤーの巨額調達 Apiiro Chainguard 特定の領域に強みを持つプレイヤーの誕生 Socket Arnica 新規プレイヤーの大型シード調達とステルス解除 Ox Security Endor トレンド2: コンプライアンスチェックの自動化SaaSの競争激化 トレンド3: プライベートエクイティファンドによるセキュリティスタートアップの巨額…

Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いまし…

合格発表後、少し時間が空いてしまいましたが、情報処理安全確保支援士試験に合格しました。 情報処理安全確保支援士試験とは IPAの主催している試験で サイバーセキュリティリスクを分析・評価し、組織の事業、サービス及び情報システムの安全を確保するセキュリティエンジニアや、技術・管理の両面から有効な対策を助言・提案して経営層を支援するセキュリティコンサルタントを目指す方に最適です。 だそうです。 このブログ（日記）を始めたきっかけはネスペに落ちたことだったので、それから半年経ちました。毎度のことですが、試験日が10/9で合格発表が12/22とかなり時間がかかるのがいやなところです。 今回の点数は以下…

gigazine.net ⇧ Oh, my gosh... Twitterだけでなく、 gigazine.net www.security-next.com ⇧ Elasticもセキュリティが崩壊してる模様... 残念ながら www.cvedetails.com ⇧ 脆弱性も報告されてるようですね... Elasticsearch、Logstash、KibanaでTwitter APIで情報を収集し分析してみたかったけど... 前回、 ts0818.hatenablog.com ⇧ Twitter APIを利用できるように準備したので、 qiita.com qiita.com ⇧ 上記サイト様…

はじめに 過去の人気脆弱性 2022年 人気脆弱性 TOP 10 in GitHub 10位 - 753 pt 『macOS における権限昇格される脆弱性 (CVE-2022-46689)』 9位 - 766 pt 『Cobalt Strike におけるクロスサイトスクリプティングの脆弱性 (CVE-2022-39197)』 8位 - 821 pt 『OpenSSL におけるバッファオーバーフローの脆弱性 (CVE-2022-3602)』 7位 - 1,289 pt 『Spring Cloud Gateway における未認証の任意のコード実行の脆弱性 (CVE-2022-22947)』 6位 …

こんにちは、うさみ(@tadsan)です。標記の通り、ピクシブ株式会社はThe PHP Foundation(@ThePHPF)への継続的な財政支援を開始しました。 opencollective.com 支援額は月間1000ドル、年間で12000ドルになる計画です。 PHPは言わずと知れたオープンソースのプログラミング言語処理系であり、誰もが無料で自由に利用できます。そのため、多くの個人ホームページ、ウェブサイト、百科事典、ゲームのAPIサーバー、広告システム、大規模な業務システムに至るまで世界中の多くのプログラムがPHPで稼動しています。 西暦2000年前後においてはLinux, Apach…

【要点】 ◎本拠地をロシアにおくランサムウェア犯罪組織 ◎ Ryuk の後継ランサムウェア。Ryuk の使用は現在停止している。ロシアの犯罪組織 Wizard Spider が RaaSで使用していると考えられている incidents.hatenablog.com 【目次】 概要 【図表】 【辞書】 【指名手配】 【概要】 【最新情報】 記事 【ニュース】 【図表】 【検索】 【リークサイト】 【関連情報】 関連情報 【関連まとめ記事】 概要 【図表】 https://rewardsforjustice.net/ja/rewards/conti/ 【辞書】 ◆Conti (Malpedia)…

Red Hat のソリューションアーキテクトの瀬戸です。 この記事はRed Hat Developerの How to migrate apps from JBoss EAP 7.x to JBoss EAP 8-Beta を、許可をうけて翻訳したものです。 この記事では最近リリースされたJBoss EAP 8-Betaについて説明します。JBoss EAP 8 で導入された変更点について解説し、アプリケーションを JBoss EAP 7.4 から移行するために必要な手順を示します。 JBoss EAP 8.0 はJakarta EE 10をサポートします。Jakarta EE 10 は EA…

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。 １１月１日収集 全般 他人のパスワード、1つでも知ってる？ 日本に住む人の回答は アバスト調査 日本は世界平均を下回っているようですね。セキュリティ意識が高いと言うことなのでしょうか。 https://www.itmedia.co.jp/news/articles/2210/31/news101.html](https://www.itmedia.co.jp/news/artic…