Log4J

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…

Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。（お疲れ様です・・） アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 ＊動作検証は厳密に行っていなので参考程度に見ていただければと思います＊設定イメージ解説にパロアルトネットワークス社の次世代ファイアウォール（以下PAと記載）を利用しています Apache Log4j問題について 対象バージョン 対策 恒久的な対策…

某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性（CVE-2021-44228） Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか？ (Javaをほとんど触ったことがない人がまとめます。) Log4gって何？ そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…

はじめに セキュアスカイ・テクノロジー（以下、SST）、システム＆セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内（いわゆる情シスの視点）で実施している対応の一部を可能な範囲でご紹介します。 www.jpcert.or.jp SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当（や情報システム担当）が…

今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w （ワンサイズ大きいのを推奨） a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…

クリスマス前に大騒ぎですが，Japan VMUG もアクティブメンバーのみなさんが昼夜を問わずに情報整理・提供してくれていて，本当に頭が下がります．VMware 製品群に関しては，VMSA-2021-0028 が公開された直後は Workaround は vROPs くらいしか情報なかったのですが，やっと vCenter の Workaround も KB87081 として公開されたので，早速 7.0.3 の vCSA に適用してみました．すぐに日本語化されるとは思いますが，困っている初心者の方もいらっしゃるかと思いますので，一通り手順を書いておきたいと思います． 0. vCenter へ s…

史上最悪のセキュリティ欠陥 インターネットサーバーで広く使われているソフトウェアに致命的脆弱性が見つかり、 世界中のサイバーセキュリティ業界がひっくり返ったとAP通信が伝えた。 ゲームサーバーやクラウドサーバーを運営するIT企業はもちろん、ウェブサーバーを 運用する企業や政府機関までもがこのソフトウェアを活用しており、深刻なハッキング リスクに晒される可能性がある。 中国からのトラフィックが普段より増えるかも？ 問題となるのはオープンソースのロギングライブラリ「Log4j」。 ※Javaプログラムで用いられるライブラリ。 ロギングとは、サーバーやプログラムのメンテナンスを目的として動作状態を記…

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起が公開された。 JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性（CVE-2021-44228）がある。 Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性がある。 Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0 https://logging.apache.org/log4j…

CVE、CWE、CVSS log4jの脆弱性はCVSSが10です、なんてワードを見る。 改めて、その辺の整理をする。 こちらで、さっぱりとまとめてくれています。 qiita.com CVE：脆弱性を識別するための共通ID（CVE識別番号(CVE-ID)） CWE：脆弱性のカテゴリ分けするための共通ID（CWE識別子(CWE-ID)） CVSS：脆弱性の危険度を評価するための共通方法 CVE wikiによれば、CVEは辞書とのこと。 CVEの目的は「識別可能性の確保＝個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名＝個々の脆弱性に（業界標準的な）名…

背景 現在、コロナによるテレワークの増加により、一般ユーザが社内の安全なネットワークから外れ、自宅環境で業務を行うことが増えてきている。その為、セキュリティ管理がしっかり行われていない個人に対してサイバー攻撃を行われる可能性がある。 事例として、自宅から社内のサーバにアクセスする際にデータを盗聴、なりすまし、送信したデータの改ざんをされたり、SSH等でリモート接続し、業務を行う場合でもリモートデスクトッププロトコルの脆弱性をついた攻撃等を受けてしまうことがある為、テレワークをする際にはセキュリティ上の危険性を理解し、安全に業務を行うことが必要である。 そのためには、まず攻撃者の個人に対する攻撃…

はじめに 2021年 人気脆弱性 TOP 10 in GitHub 10位 975 pt 『Microsoft Windows Server における権限を昇格される脆弱性 (CVE-2021-42287)』 9位 1,005 pt 『Apache Druid における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性 (CVE-2021-25646)』 8位 1,068 pt 『Microsoft Windows Server における権限を昇格される脆弱性 (CVE-2021-42278)』 7位 1,149 pt 『VMware vCenter Server および C…

昨年末から、サイバーセキュリティ業界で新しい脅威として「Apache Log4j」の脆弱性が取りざたされるようになった。実際どの程度の被害があったのかもよく分からないのだが、関係者が対策に追われている状況になっていた。ベルギー国防省への侵入があったのは事実で、一般企業に対しても暗号資産採掘用のソフトウェアをインストールされたり、ボットネットとして悪用されたことはあるようだ。 そもそも「Log4j」というソフトウェアの名前を知らない人も多いと思う。使っていますかと聞かれても、答えようがないだろう。企業の情報システムを管掌している人でも、自社で「Log4j」を使っているかを把握していないことも多い…

基本情報技術者試験に合格した昨年だったが、今年は情報処理安全確保支援士（セキスペ）に挑戦してみようと思う。 データベーススペシャリストのほうが業務的には役立つのであろうが、私の興味のベクトルは情報セキュリティに向いている。 なぜセキュリティかというと、私はとってもビビりだからである。 先日、画面に突然BugSplatというアプリが立ち上がり、ギョッとした。 数日前に新しいアプリをインストールしたばかりだったので、一緒にマルウェアでも連れてきてしまったか！？とどきりとした。 調べたところSourceTreeがクラッシュした時のエラーレポートだったようで胸をなでおろす。（SourceTreeが落ち…

ツイート Ken Ide @k1dee 「何もしてないのに壊れた。」とサポートに問い合わせた事の無い者のみが石を投げよ。/ みずほ銀の法人向けネットバンキング不具合が復旧、原因は不明 https://www.bloomberg.co.jp/news/articles/2022-01-11/R5ISWDT1UM0Z01 @business 04:51 Ken Ide @k1dee 【速報】大学入学共通テストの東京大学会場で受験生3人刺される 刺した男の身柄確保 https://www.fnn.jp/articles/-/299345 09:54 Ken Ide @k1dee Vivaldi が絶…

2021 年 12 月に、Apache Log4j (Log4j 2) と言うライブラリに対して脆弱性が存在する事が発覚しました（参考：Apache Log4j の脆弱性対策について(CVE-2021-44228)）。この問題に関連して、現在、Cube シリーズへの該当の脆弱性の影響に関するお問い合わせが急増しています。 Apache Log4j は Java と呼ばれるプログラミング言語で実装されたライブラリの一つとなっています。CubePDF、CubePDF Utility、CubePDF Page、CubeICE を始めとした弊社 Cube シリーズ（Windows ソフトウェア）に関し…

営業部 佐竹です。 本日は、AWS 上のリソースを悪用され Crypto Currency （仮想通貨/暗号通貨）の採掘をされてしまわないように、利用者側にどのような対策がとれるのか、また実際に採掘を行われてしまった場合の対応について記載します。 はじめに キーワード 暗号通貨とその種類 採掘（マイニング） ウォレットへの送金 採掘悪用の概略図 悪用行為が増えている背景 ビットコインの高騰 イーサリアムの台頭 暗号通貨採掘悪用の攻撃経路 EC2 インスタンスに侵入し、侵入したインスタンス上で採掘を行う IAM Role を悪用し、悪意のある AMI から採掘用インスタンスを大量に横展開して採掘…

今年も去年末～年明けに開催されたSANS Holiday Hack Challengeに参加しました。今年は何とか期間中に全問正答＆レポート提出を果たしました。ランダム賞あたればいいな😊 ※まだの方はこちらから参加できます。 https://www.sans.org/mlp/holiday-hack-challenge/ 本記事は、Holiday Hack Challenge 2021のTerminalのWriteupです。 ※ObjectiveのWriteupはこちら。 fatsheep.hateblo.jp

ルックバックとか確かにはやった。 順位 タイトル コメント はてブ数 1 ルックバック - 藤本タツキ | 少年ジャンプ＋2021/07/19 00:07 コメント 3498 2 台本11冊を入手 五輪開会式“崩壊” 全内幕 計1199ページにす...2021/07/28 16:38 コメント 2782 3 ジャンプの漫画学校講義録⑥ 作家編 松井優征先生「防御力をつ...2021/03/10 16:42 コメント 1809 4 平成元年発売のテトリスの世界大会が 今大変なことになってい...2021/12/23 20:06 コメント 1793 5 庵野秀明（2000） - 早稲田大学 人…