ブログ - Apache Log4j関連
次から次へと問題・課題が出てくるので,早くアップグレードするのが吉なんだろうけれども,現場はどうなのだろう?
この夏までの仕事場の元ボスは,(脆弱性がよく見つかるので)Javaが嫌いだったから,関係してないと思うけどな.
AWSアカウントを「Log4Shell」で乗っ取る方法が報告される
https://gigazine.net/news/20211223-aws-account-takeover-via-log4shell/
引用: ちょっと複合的な感じか.
「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ
https://gigazine.net/news/20211223-apache-log4j-alibaba-cloud/
引用: 中国の法律的には,ベンダじゃなくて政府に報告するのね...
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?
https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/
引用: 先に中国政府に報告したら,Apacheに連絡したかどうか・・・?
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用:
この夏までの仕事場の元ボスは,(脆弱性がよく見つかるので)Javaが嫌いだったから,関係してないと思うけどな.
AWSアカウントを「Log4Shell」で乗っ取る方法が報告される
https://gigazine.net/news/20211223-aws-account-takeover-via-log4shell/
引用:
セキュリティ企業のGigasheetが「Log4ShellでAWSアカウントを乗っ取る方法」を公開しました。Gigasheetによると、この方法はあくまでAWSのセキュリティ設定がずさんな場合にのみ起こりえる現象であり、AWSがLog4Shellに関する固有の問題を抱えているということを意味しているわけではないとのこと。
「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ
https://gigazine.net/news/20211223-apache-log4j-alibaba-cloud/
引用:
世界最大級の小売&電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?
https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/
引用:
2021年11月24日に、Alibaba Cloudのセキュリティチームが、Apache Log4jのバージョン2.0-beta9からバージョン2.14.1までにリモートコード実行の脆弱性を発見したと、Apacheに報告しました。
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用:
警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。