Log4J

【要点】 ◎ ログライブラリ Apache Log4j に致命的な脆弱性(Log4Shell / CVE-2021-44228)が存在 ◎ CVE-2021-45046, CVE-2021-45105 の脆弱性の存在も Log4j に発覚 ◎ このライブラリを使用する多くのソフトウェア製品、サービスに本脆弱性が存在*1 *2 *3 ◎ 対策は、脆弱性パッチの適用(2.17.0 以降) ◎ 当初の緩和策の効果は否定された ■関連情報(まとめサイト) - サイバー攻撃関係 - ◆Log4Shell [サイバー攻撃] (まとめ) https://malware-log.hatenablog.com/…

本記事は下記URLに移動しました。５秒後に自動的に移動します。 https://www.naitwo.me/Log4j Javaのログ出力ライブラリ「Apache Log4j」の脆弱性問題(CVE-2021-44228)が話題になっています。 業務で対応をされている方もいらっしゃるのではないでしょうか。（お疲れ様です・・） アプリケーション観点での対策については各所で情報があがってきているので、今回はネットワークインフラ観点でできる対策について書いていこうと思います。 ＊動作検証は厳密に行っていなので参考程度に見ていただければと思います＊設定イメージ解説にパロアルトネットワークス社の次世代ファ…

某セキュリティキャンプのリレーブログです。前回の僕の記事はZennでかきましたが、今回ははてなブログを使ってみようと思います。前回の方のブログはこちら。 今回のテーマは Log4jの脆弱性（CVE-2021-44228） Twitterでかなり騒がれていましたが、実際にどのようなものなのでしょうか？ (Javaをほとんど触ったことがない人がまとめます。) Log4gって何？ そもそも今回脆弱性が見つかったLog4jとは何者なのか。簡単に。 Log4jは、オープンソースで提供されている Javaプログラム用のロギングライブラリ。Apache Software Foundationが提供していて、…

はじめに セキュアスカイ・テクノロジー（以下、SST）、システム＆セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内（いわゆる情シスの視点）で実施している対応の一部を可能な範囲でご紹介します。 www.jpcert.or.jp SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当（や情報システム担当）が…

はじめに 今のプロジェクトではJavaでSpringbootのアプリケーションを利用している。 当然Log4jの脆弱性は問題ないのか調査することになった。 結論 変なことをしていなければ、今回の脆弱性は影響なし。 調査内容 前提 今回の脆弱性は、log4j-coreの2.15.0以下を利用している場合にlookup機能が悪用されて任意コードが実行される。 Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 Springboot公式の見解 Springbootのデフォルトのロギングシステムをlog4j2にスイッチしていない限り問題ないとのこと。 そ…

今、最もサロンで人気なのがこちら ふわふわニット 女の子ウケも抜群^^ カラバリ豊富 そして鬼安w （ワンサイズ大きいのを推奨） a.r10.to その他の人気オススメ商品はこちら♪ note.com rakuten_design="slide";rakuten_affiliateId="12534b64.cf5c2745.12534b65.2e7493a3";rakuten_items="ctsmatch";rakuten_genreId="0";rakuten_size="468x160";rakuten_target="_blank";rakuten_theme="gray";rakut…

クリスマス前に大騒ぎですが，Japan VMUG もアクティブメンバーのみなさんが昼夜を問わずに情報整理・提供してくれていて，本当に頭が下がります．VMware 製品群に関しては，VMSA-2021-0028 が公開された直後は Workaround は vROPs くらいしか情報なかったのですが，やっと vCenter の Workaround も KB87081 として公開されたので，早速 7.0.3 の vCSA に適用してみました．すぐに日本語化されるとは思いますが，困っている初心者の方もいらっしゃるかと思いますので，一通り手順を書いておきたいと思います． 0. vCenter へ s…

vRLIの新バージョンを利用するにあたり、既存vRLIをアップグレードするのではなく新規vRLIを立てる場合などに、ログデータの移行が必要となる。 以下ドキュメントを実行することでアーカイブデータの移行はできる。 vRealize Log Insight アーカイブの vRealize Log Insight へのインポート しかし、これのみではNFSにコピーされていない、書き込み中バケットのログが移行されない。 バケット、アーカイブについては以下に記載 【vRLI】ログデータのアーカイブについて - いんふらブログ そのため、全データを移行するためには以下のような手順が必要になる。 パターン…

こんにちは、MonotaROの伊藤です。 今回は私が所属しているチームでMonotaROのサイトのデプロイの大部分で使用されているJenkinsの運用を引き継いだ話をしたいと思います。 チームが結成されて最初の仕事として始めたこの引き継ぎでしたが、当初予定されていた二週間どころか完全な完了に四カ月かかってしまいました。 なぜ、このような事が起きてしまったのか振り返り、上手くいった事や上手くいかなかった事、どうすればもっとスムーズに進められたのか事などの内容について紹介できればと思います。 背景 終わらないアップデート 問題一: 本体のバージョンとプラグインの整合性が合わない 問題二: ジョブが…

今回は、Apache Jakarta Projectで開発されている「commons-logging」の概要を調べましたのでここにメモとして残します。 commons-loggingとは？ commons-loggingとは、Javaで利用できるライブラリの一つで汎用ロギングコンポーネントです。 Apache Commons Logging – OverviewJavaで有名なロギングライブラリは、log4jですがこれと何が違うのか。実は、commons-loggingは実際のログ出力を処理しているのではなく、ロギングするための汎用的なインタフェースという位置づけのようです。つまり、commo…

先日より、Flywayを使ってRDSのデータベースマイグレーションをLambda関数を使って実装できないかやってみています。前回までの記事は以下を参照。 AWS Lambda関数をJavaで実装する（1） - miyohide's blog AWS Lambda関数をJavaで実装する（2）LambdaからRDSへ接続する - miyohide's blog AWS Lambda関数をJavaで実装する（3）CodeBuildを使ってLambdaアプリをデプロイする - miyohide's blog AWS Lambda関数をJavaで実装する（4）CodeBuildを使ってLambdaアプ…

nazology.net ⇧ う～む、解明できる日が来るんだろうか... Eclipseの「プロジェクトのビルド」でクラスパスは良しなに面倒見てくれない件 MavenやGradleのようなビルドツールを基準に考えてしまっていたので、Eclipseの「プロジェクトのビルド」はクラスパスを良しなに面倒見てくれないとは思わなくてハマった... 同じ職場の方に教えてもらって無事解決＆原因に気付いたのだけど、新たな気付きの機会をいただき感謝です。 というわけで、 qiita.com ⇧ 上記サイト様を参考に、 log4j-core-x.xx.x.jar log4j-api-x.xx.x.jar のjar…

システムを開発している企業で「SBOM（エスボム）」を作成することが増えています。システムに用いた全ての部品を一覧にしたSBOM。なぜ近年ニーズが高まっているのでしょうか。その背景と、具体的にどのように作成するのかを、サクッと解説します。 SBOMとは 私たちがスーパーマーケットなどで加工食品を購入すると、そのパッケージには原材料が表示されています。これは、その食品にどのような材料が使われているのか、消費者が必要な情報を把握するためです。消費者のアレルギーへの影響を判断するだけでなく、その保存方法や問い合わせ先などを確認するために重要な情報です。 これと同じように、システム開発の現場でも、その…

いつもおせわになっている第49回Software Design (2023年10月号) 輪読&座談会に参加してきました。 softwaredesign.connpass.com 本全体 特集と連載で連動して、セキュリティの話が多めになっていて、統一感がありました。 機械学習もいろいろあるし、健康についてもあって、結構いいですよね！ 第1特集 オンプレもクラウドも徹底防御！ 今さら聞けないネットワークセキュリティ みなさん、VPNをやめてゼロトラストへと移っていこうとしてるそうです。 Log4j、OpenSSL……対応が大変だったそうで…。 社内機器のアップデートの話を聞き忘れてしまいました…。…

いつもお世話になっております。Azoopの武田です。 ここ3ヶ月エオルゼアで毎週1回某お母様と戦い続けて欲しかった白魔道士の杖が取れました。 さて弊社のプロダクトである運送業務支援サービス『トラッカーズマネージャー』(以下、トラマネ)ですが、お客様である運送会社の車両やドライバーの情報といった大切なデータを預かり、また輸送案件の管理や請求書発行など基幹業務を担わせていただいています。 ブラウザ経由で使うという性質上インターネットという広大で物騒な世界に露出しており、ログ上でも既知の脆弱性を元にした攻撃や攻撃の足掛かりを探す不審なアクセスを観測しています。 弊社のプロダクトに攻撃を仕掛けてくる悪…

目次 はじめに ロギングとは Javaでのロギング ログレベル サンプルコード まとめ はじめに 本記事では、Javaアプリケーション開発で重要な役割を果たす「ロギング」について説明します。また、Javaでのロギング方法や、それがどのようにシステム開発や運用を助けるかも紹介します。 ロギングとは 「ロギング」とは、アプリケーションが実行中に何が起こったかを記録する行為です。エラーメッセージ、デバッグ情報、システム活動などさまざまな種類のメッセージが対象です。これらの情報を適切なフォーマットで一元的に管理することで問題解析やパフォーマンス改善が容易になります。 Javaでのロギング Javaでは…

【インシデントに関する情報】 ・German financial agency site disrupted by DDoS attack since Friday 【攻撃の傾向・手法】 ・https://isc.sans.edu/diary/rss/30184 ・Okta Warns of Social Engineering Attacks Targeting Super Administrator Privileges 【攻撃組織の動向】 ・What's in a NoName? Researchers see a lone-wolf DDoS group 【当局関連の動き、法規則等】 …

【インシデントに関する情報】 ・Hackers infiltrated Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC) for months ・日本の内閣サイバーセキュリティセンターが受けたサイバー攻撃の背後には中国政府がいるという報道 - GIGAZINE ・総務省、検索関連データでヤフーに行政指導--NAVERに位置情報などを提供 - CNET Japan 【攻撃の傾向・手法】 ・ラック、福島第一原発の処理水放出に便乗するサイバー攻撃に注意喚起 - ZDNET Japan…

mavenの場合、以下の依存関係を追加することで解決できました。 <dependencies> <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-to-slf4j --> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-to-slf4j</artifactId> <version>2.17.2</version> </dependency> <!-- https://mvnrepository.com/…