Log4J

2021年も師走に差し掛かったある日、「Log4j 脆弱性」というキーワードが世界中のセキュリティ界隈に激震を走らせました。 12月10日15時頃から、ITエンジニアを中心にネット上で火が付いたLog4jの脆弱性騒動はその後、米マイクロソフト社が提供する大人気ゲーム「Minecraft」やApple社の「iCloud」など、一般に身近なサービスへの影響も確認されたため、さらなる話題を呼びました。 Log4jの脆弱性については、NHK、WBS、日経新聞などの大手メディアでも取り上げられましたが、非エンジニアからすれば「なぜここまで話題となるのか？」が疑問なところです。 そこで本記事では、Log4…

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…

本記事は下記URLに移動しました。５秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。（お疲れ様です・・） アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 ＊動作検証は厳密に行っていなので参考程度に見ていただければと思います＊設定イメージ解説にパロアルトネットワークス社の次世代ファ…

某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性（CVE-2021-44228） Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか？ (Javaをほとんど触ったことがない人がまとめます。) Log4gって何？ そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…

log4j がめちゃくちゃ話題になってますね。 自分がいる会社でも、製品に使われていないかなどの対応に追われているところもあり、なかなか安心できない状況となります。 毎年クリスマス前は、ハッキングとかセキュリティの話題が出ているような。 インフラチームはクリスマス嫌っている人多そう。 警察庁がlo4jの攻撃情報を公開 悪用されるとどうなるか どうなったらかかるのか windows もすぐに対処 自分のpcにもlog4jが linux はすぐに対処を androidはあまり気にしなくて良い うちで使っている製品もやばいの？ docker desktopの場合 microsoft の場合 被害にあ…

はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…

今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w （ワンサイズ大きいのを推奨） a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…

サプライチェーン攻撃：見えない敵に潜む脅威 近年、サイバー攻撃の手口はますます巧妙化しており、企業にとって大きな脅威となっています。中でも、サプライチェーン攻撃は、従来の防御方法では防ぎにくい厄介な攻撃として注目されています。 サプライチェーン攻撃とは？ サプライチェーン攻撃とは、企業が利用するソフトウェアやサービス、ハードウェアなどに不正なコードを仕込み、間接的に企業を攻撃する手法です。攻撃者は、企業自体のシステムを直接攻撃するよりも、サプライヤーなど第三者を経由することで、巧みに防御網を潜り抜けます。 サプライチェーン攻撃の手口 サプライチェーン攻撃には、様々な手口があります。以下に代表的…

memo -Dlog4j2.loggerContextFactory=org.apache.logging.log4j.core.impl.Log4jContextFactoryimport org.apache.logging.log4j.LogManager;import org.apache.logging.log4j.Logger； <?xml version="1.0" encoding="UTF-8"?> <Configuration status="WARN"> <Appenders> <Console name="Console" target="SYSTEM_OUT"> <P…

これは、なにをしたくて書いたもの？ Infinispan Serverにsystemdの設定ファイルが含まれていることに今更ながら気づいたので、せっかくなのでちょっと設定してみようかなと いうことで。 ついでに、設定可能な環境変数やシステムプロパティなども見ていってみようと思います。 環境 今回の環境は、こちら。 No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 22.04.4 LTS Release: 22.04 Codename: jammy $ uname -srvmpio Linux 5.1…

構造化ログという概念がある。ログをこれまでのプレーンテキストではなく、なんか良い感じのシリアライズフォーマットを使って出力することで、各種の再利用性を高めるのが目的だ。一般には、ログの各メッセージをJSONに収め、JSON Lines形式にすることが多い。 blog.3qe.us Google CloudやAWSなどの各サービスがこの構造化ロギングの概念はに対応しており、ログ検索などで便利に使えるようになっている。JSONのフィールドでフィルタしたり、詳しいフィルタリングができる。 すくなくとも仕事ではかなり使われていて、コンテナネイティブなアプリケーションだとほぼ必須事項みたいになっている。…

少し前にlog4jにかなり重大な脆弱性が存在することが発覚して、log4jライブラリを脆弱性を対応した最新のバージョンに入れ替えしなければならなくなった人は多いと思います。私もその対応をしたのですが、そのときに「log4j-api-2.xx.0.jar」と「log4j-core-2.xx.0.jar」のメインのjarファイル以外にもう一つ「log4j-1.2-api-2.xx.0.jar」というライブラリも合わせて交換しました。実際にライブラリを交換する際には、たいして意識していなかったのですが「log4j-1.2-api-2.xx.0.jar」って結局何の意味があったのか、気になったので今回…

株式会社スタンバイ QAグループに所属している岸です。本記事では、スタンバイの脆弱性検知の運用について紹介します。 スタンバイでは脆弱性検知のシステムとして2022年よりyamoryというツールを使っております。 参照URL:https://yamory.io/ yamoryにはいくつかの機能がありますが、スタンバイではプロダクトで利用しているソフトウェアの脆弱性検知を主として使用しています。 参照URL:https://yamory.io/service/vulnerability-management/ yamoryによる脆弱性検知の対応 【事前準備】 1.yamoryにスタンバイが使用し…

datatech-jpで開催中のFundamentals of Data Engineering (English Edition)読書会に向けた、「Chapter 10. Security and Privacy」のまとめ。 以下は基本的には本文の要約であり、★マークがついている部分は私のコメントや付加情報である。 セキュリティとプライバシーの重要性を再確認し、日々のワークフローに取り入れることができる簡単なプラクティスを紹介 人、プロセス、テクノロジーの観点から整理 security and privacy are critical to data engineering Introduc…

0.ファイアウォールの重要性 (1)昨今のセキュリティインシデントとUTMの重要性 (2)ファイアウォールの設計概要 1.ファイアウォールルールの設計 2.ポリシーの書き方 (1)デフォルトのポリシー (2)ポリシーの順序 (3)ポリシーの書き方 (4)ポリシーの書き方（詳細） (5)ログの取得（許可ログと拒否ログ） (6)インスペクションモード 3.アドレスオブジェクトの作成 アドレスオブジェクトの作成（詳細） 4.ISDB (1)ISDBとは (2)ISDBの活用方法 (3)ISDBのデータベースの最新化 (4)CLI 5.FortiGateのファイアウォールの動作 6.マルチキャストポリ…

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。 サイバー世界情勢 地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。 アジア 12/4 New SugarGh0st RAT targets Uzbekistan government and South Korea https://blog.talosintelligence.com/new-…

はじめに ポイント1：エラーログを読む ポイント2：デバック機能を使う ポイント3：公式ドキュメントを参照する ポイント4：エラー原因とその対処方法をまとめておく おわりに はじめに はじめまして。入社1年目の藤本です。 webアプリケーションを開発する際には、様々なエラーに遭遇します。 私は、研修で初めてSpring Bootをつかってwebアプリケーションを作った際に、数多のエラーと出会い、気が滅入りました。 入社するまで、Spring BootはおろかJavaにさえ触れたことのなかったので、どう解決していくのか見当もつかない状態でした。 そこで本記事では、webアプリケーション開発を行う…

こんにちは、株式会社FLINTERSでエンジニアをやっている丸山です。 この記事は2024年1月にFLINTERSが10周年を迎えることを記念して、133日連続でブログを書き続けるチャレンジの一環として書かれました。本記事は129日目の記事となります。 以前73日目の記事も執筆しましたので、よければそれもご覧になってください。 今回の記事は、ソフトウェア開発で重要なセキュリティについて、ソフトウェアが利用しているパッケージやライブラリをソフトウェアのコードを管理しているGitHub上でDependabotやGitHub Actionsを利用することによって低コストで定期的にバージョンの更新を行…