Apache-Jakartaプロジェクトのログ出力ツール。コード内にログステートメントを記述する必要は無く、Javaバイナリーの挙動を確認できる。
JDK1.4でロギングAPIが実装されたが、機能面ではlog4jの方がまだ優れている。
現在、創始者であるCeki Gülcüは、後継ソフトである、Logbackに注力している。
logbackとlog4jの違い Log4j2について Logbackの実装例 log4j2の実装例 LogbackとLog4j2のどちらを選ぶべき? Logbackを選ぶべき場合: Log4j2を選ぶべき場合: logbackとlog4jの違い LogbackとLog4jは、どちらもJavaアプリケーションでのログ記録(logging)のためのライブラリであり、Apacheソフトウェア財団によって提供されています。以下は、LogbackとLog4jの主な違いです。1. 設計と機能: LogbackはLog4jの後継として設計されており、Log4jの設計の問題を解決し、新しい機能を提供していま…
【要点】 ◎ 脆弱性: CVE-2021-44228を狙う攻撃 ◎ 攻撃活動が活発化傾向 ◎ マルウェア(ランサムウェア, コインマイナー, Bot等)のダウンロード活動が活発化 ■関連情報(まとめサイト) - 脆弱性関連 - ◆Log4Shell [脆弱性] (まとめ) [TT 脆弱性 Blog] ⇒ 脆弱性関係の情報はこちら https://vul.hatenadiary.com/entry/Log4Shell vul.hatenadiary.com ■警察庁の攻撃数観測データ 出典: https://www.npa.go.jp/cyberpolice/important/2021/202…
2021年も師走に差し掛かったある日、「Log4j 脆弱性」というキーワードが世界中のセキュリティ界隈に激震を走らせました。 12月10日15時頃から、ITエンジニアを中心にネット上で火が付いたLog4jの脆弱性騒動はその後、米マイクロソフト社が提供する大人気ゲーム「Minecraft」やApple社の「iCloud」など、一般に身近なサービスへの影響も確認されたため、さらなる話題を呼びました。 Log4jの脆弱性については、NHK、WBS、日経新聞などの大手メディアでも取り上げられましたが、非エンジニアからすれば「なぜここまで話題となるのか?」が疑問なところです。 そこで本記事では、Log4…
【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…
本記事は下記URLに移動しました。5秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。(お疲れ様です・・) アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 *動作検証は厳密に行っていなので参考程度に見ていただければと思います*設定イメージ解説にパロアルトネットワークス社の次世代ファ…
某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性(CVE-2021-44228) Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか? (Javaをほとんど触ったことがない人がまとめます。) Log4gって何? そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…
はじめに セキュアスカイ・テクノロジー(以下、SST)、システム&セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内(いわゆる情シスの視点)で実施している対応の一部を可能な範囲でご紹介します。 www.jpcert.or.jp SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当(や情報システム担当)が…
log4j がめちゃくちゃ話題になってますね。 自分がいる会社でも、製品に使われていないかなどの対応に追われているところもあり、なかなか安心できない状況となります。 毎年クリスマス前は、ハッキングとかセキュリティの話題が出ているような。 インフラチームはクリスマス嫌っている人多そう。 警察庁がlo4jの攻撃情報を公開 悪用されるとどうなるか どうなったらかかるのか windows もすぐに対処 自分のpcにもlog4jが linux はすぐに対処を androidはあまり気にしなくて良い うちで使っている製品もやばいの? docker desktopの場合 microsoft の場合 被害にあ…
はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…
今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w (ワンサイズ大きいのを推奨) a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…
サプライチェーン攻撃:見えない敵に潜む脅威 近年、サイバー攻撃の手口はますます巧妙化しており、企業にとって大きな脅威となっています。中でも、サプライチェーン攻撃は、従来の防御方法では防ぎにくい厄介な攻撃として注目されています。 サプライチェーン攻撃とは? サプライチェーン攻撃とは、企業が利用するソフトウェアやサービス、ハードウェアなどに不正なコードを仕込み、間接的に企業を攻撃する手法です。攻撃者は、企業自体のシステムを直接攻撃するよりも、サプライヤーなど第三者を経由することで、巧みに防御網を潜り抜けます。 サプライチェーン攻撃の手口 サプライチェーン攻撃には、様々な手口があります。以下に代表的…
この記事では、Scala 3用のロギングライブラリであるScribeについて、以下のことを説明する(順不同)。 インストール方法と基礎的な使い方 従来のロギングライブラリとの思想的な違いと優位性 Scribeの構造 そしてこれを利用した発展的な使い方 あらすじ なぜScribeなのか、なぜ他のロギングライブラリではないのか 従来のロギングライブラリの課題 現行のScalaにおけるロギングライブラリはほとんどJavaのロギングライブラリのラッパーである Scala.js / Scala Nativeへの非対応 追加の依存性 パフォーマンス上の問題 設定の困難さ Scribeがとるアプローチ Pu…
memo -Dlog4j2.loggerContextFactory=org.apache.logging.log4j.core.impl.Log4jContextFactoryimport org.apache.logging.log4j.LogManager;import org.apache.logging.log4j.Logger; <?xml version="1.0" encoding="UTF-8"?> <Configuration status="WARN"> <Appenders> <Console name="Console" target="SYSTEM_OUT"> <P…
これは、なにをしたくて書いたもの? Infinispan Serverにsystemdの設定ファイルが含まれていることに今更ながら気づいたので、せっかくなのでちょっと設定してみようかなと いうことで。 ついでに、設定可能な環境変数やシステムプロパティなども見ていってみようと思います。 環境 今回の環境は、こちら。 No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 22.04.4 LTS Release: 22.04 Codename: jammy $ uname -srvmpio Linux 5.1…
構造化ログという概念がある。ログをこれまでのプレーンテキストではなく、なんか良い感じのシリアライズフォーマットを使って出力することで、各種の再利用性を高めるのが目的だ。一般には、ログの各メッセージをJSONに収め、JSON Lines形式にすることが多い。 blog.3qe.us Google CloudやAWSなどの各サービスがこの構造化ロギングの概念はに対応しており、ログ検索などで便利に使えるようになっている。JSONのフィールドでフィルタしたり、詳しいフィルタリングができる。 すくなくとも仕事ではかなり使われていて、コンテナネイティブなアプリケーションだとほぼ必須事項みたいになっている。…
少し前にlog4jにかなり重大な脆弱性が存在することが発覚して、log4jライブラリを脆弱性を対応した最新のバージョンに入れ替えしなければならなくなった人は多いと思います。私もその対応をしたのですが、そのときに「log4j-api-2.xx.0.jar」と「log4j-core-2.xx.0.jar」のメインのjarファイル以外にもう一つ「log4j-1.2-api-2.xx.0.jar」というライブラリも合わせて交換しました。実際にライブラリを交換する際には、たいして意識していなかったのですが「log4j-1.2-api-2.xx.0.jar」って結局何の意味があったのか、気になったので今回…
Scalaわいわいランドは2024年2月27日にScalaわいわい勉強会2を開催しました。 scala-tokyo.connpass.com ハッシュタグは前回に引き続いて #scala_waiwai となっております。現場の様子はTwitter(X)でご確認いただけます。 発表資料紹介 今回は発表3本、LT3本の構成となりました。発表順に紹介します。 @nomadblacky: ReckonerのScalaプロジェクトにおけるオブザーバビリティの取り組み speakerdeck.com 一番最初の発表はオブザーバビリティの話。最近は OpenTelemetry が広がりを見せており、Scal…
株式会社スタンバイ QAグループに所属している岸です。本記事では、スタンバイの脆弱性検知の運用について紹介します。 スタンバイでは脆弱性検知のシステムとして2022年よりyamoryというツールを使っております。 参照URL:https://yamory.io/ yamoryにはいくつかの機能がありますが、スタンバイではプロダクトで利用しているソフトウェアの脆弱性検知を主として使用しています。 参照URL:https://yamory.io/service/vulnerability-management/ yamoryによる脆弱性検知の対応 【事前準備】 1.yamoryにスタンバイが使用し…
datatech-jpで開催中のFundamentals of Data Engineering (English Edition)読書会に向けた、「Chapter 10. Security and Privacy」のまとめ。 以下は基本的には本文の要約であり、★マークがついている部分は私のコメントや付加情報である。 セキュリティとプライバシーの重要性を再確認し、日々のワークフローに取り入れることができる簡単なプラクティスを紹介 人、プロセス、テクノロジーの観点から整理 security and privacy are critical to data engineering Introduc…
0.ファイアウォールの重要性 (1)昨今のセキュリティインシデントとUTMの重要性 (2)ファイアウォールの設計概要 1.ファイアウォールルールの設計 2.ポリシーの書き方 (1)デフォルトのポリシー (2)ポリシーの順序 (3)ポリシーの書き方 (4)ポリシーの書き方(詳細) (5)ログの取得(許可ログと拒否ログ) (6)インスペクションモード 3.アドレスオブジェクトの作成 アドレスオブジェクトの作成(詳細) 4.ISDB (1)ISDBとは (2)ISDBの活用方法 (3)ISDBのデータベースの最新化 (4)CLI 5.FortiGateのファイアウォールの動作 6.マルチキャストポリ…
このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。 サイバー世界情勢 地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。 アジア 12/4 New SugarGh0st RAT targets Uzbekistan government and South Korea https://blog.talosintelligence.com/new-…
こんにちは。えむえすです。前回、 【自鯖始めるなら必須!】マイクラサーバーの基礎知識 - mesninfの日記 という記事を書いたのですがその際IPを外部に公開することについての危険性に少しふれました。しかし!!すごく難しいことなので初心者向けの記事に書く内容でもなく書ききれる内容でもなかったのでもう一つ記事に書くことにしました。(今回も長くなりそうなので目次付きです。) 基本 IPを公開するとはどういうことなのか IPを公開する危険性 攻撃 DoS攻撃 DDoS攻撃 EDoS攻撃 ゼロデイ攻撃 ランサムウェア 法律 発信者情報開示請求 サイバーセキュリティ基本法 電子計算機損壊等業務妨害罪 …
はじめに ポイント1:エラーログを読む ポイント2:デバック機能を使う ポイント3:公式ドキュメントを参照する ポイント4:エラー原因とその対処方法をまとめておく おわりに はじめに はじめまして。入社1年目の藤本です。 webアプリケーションを開発する際には、様々なエラーに遭遇します。 私は、研修で初めてSpring Bootをつかってwebアプリケーションを作った際に、数多のエラーと出会い、気が滅入りました。 入社するまで、Spring BootはおろかJavaにさえ触れたことのなかったので、どう解決していくのか見当もつかない状態でした。 そこで本記事では、webアプリケーション開発を行う…
こんにちは、株式会社FLINTERSでエンジニアをやっている丸山です。 この記事は2024年1月にFLINTERSが10周年を迎えることを記念して、133日連続でブログを書き続けるチャレンジの一環として書かれました。本記事は129日目の記事となります。 以前73日目の記事も執筆しましたので、よければそれもご覧になってください。 今回の記事は、ソフトウェア開発で重要なセキュリティについて、ソフトウェアが利用しているパッケージやライブラリをソフトウェアのコードを管理しているGitHub上でDependabotやGitHub Actionsを利用することによって低コストで定期的にバージョンの更新を行…