ブログ - Apache Log4j 2.17.0公開
年末の忙しい時に大変だろうな...
「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査
https://japan.zdnet.com/article/35181091/
Apache Log4jにまた脆弱性、バージョン2.17.0公開
https://japan.zdnet.com/article/35181084/
引用:
連鎖というか,たぶんみんな興味深く見つめているから,見つかるのだろうな.
引用:
「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査
https://japan.zdnet.com/article/35181091/
Apache Log4jにまた脆弱性、バージョン2.17.0公開
https://japan.zdnet.com/article/35181084/
引用:
バージョン2.0-alpha1から2.14.16までにサービス妨害(DoS)状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。
連鎖というか,たぶんみんな興味深く見つめているから,見つかるのだろうな.
引用:
ASFよると、バージョン2.0-alpha1~2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx:loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ(MDC)で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。
