Javaのライブラリ「log4j2」に外部からコマンド実行可能な脆弱性が発見されIT業界が阿鼻叫喚　既に悪用コード出回る・・・情報がtwitterで拡散される

Javaのライブラリ「log4j2」に外部からコマンド実行可能な脆弱性が発見されIT業界が阿鼻叫喚　既に悪用コード出回る

対策を早急に行ってください。

SNSでの反応をまとめました

Log4jの脆弱性の話、現在進行形で影響範囲が広がってるっぽいので注視が必要そう
元々Log4j2だけの話だったのが1にも影響するんじゃないかって話になってる、、、https://t.co/du0rTXHNkL

— wrongwrong (@wrongwrong16337) December 10, 2021

【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。https://t.co/8EWDGwrLWI

— SaziumR (@SaziumR) December 10, 2021

今回のlog4j2の脆弱性かなりヤバくないか？これ特定のテキストをログ出力させるだけで任意のclass実行できちゃうってことやろ？？？

— かずえもん (@kazuemon_0602) December 10, 2021

あの話は log4j2 の話だから、と TL で言ってる人がくらかいるけど、フォロワさん情報によると 1 も可能性あるって流れになってるらしいので「log4j やばい」でいいと思う。

— mattn (@mattn_jp) December 10, 2021

log4j2の件、
– 情報をキャッチできるアンテナがある
– 一次情報から攻撃方法と影響を読み取れる
– 対象システムを即時に調査できる権限がある
– Javaのクラスローダーについて知識がある
– Javaのロギング事情がカオスなことを知っている
という条件が揃ったエンジニアが必要なので多分沢山やられる。

— 嶋田大貴 (@shimariso) December 10, 2021

公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。https://t.co/gPu63ofaIp

— SaziumR (@SaziumR) December 10, 2021

log4j2の脆弱性、formatMsgNoLookupsで治るという情報が流布されてますが、この機能が追加されたのがlog4j2.10で、minecraft 1.17以降でないと機能しないと考えられます

— 翳川翔 プログラム言語ヲタク ForgeGradle識者 (@kakerigawa) December 10, 2021

log4jゼロデイ個人メモ
Java開発では一般的に使うので被害範囲が広そう。
公式アドバイザリもCVE採番もまだ。
パッチはまだ出てない（開発版ならlog4j-2.15.0-rc1）
回避策　log4j2.formatMsgNoLookups　へTrueセットしてサーバ起動。
log4j2だけじゃなく log4j1.xも対象と思われる。

— NvrCry (@GenKa_232) December 10, 2021

今回騒がれている"log4j2"というのは、どうやらマイクラを動かしてるJavaのライブラリの話らしい…
だから、これはマイクラに限らず、Javaに関係する色々なところで影響を受けるのかな？
もしかして、影響がある範囲はめちゃくちゃ大きそう…？

— 🐻白くまさん🐱 (@abc_kuma1025) December 10, 2021

https://t.co/6T0EerodO3

log4j2にリモートコード実行の脆弱性が見つかったらしい

— 没個性 (@_shouth_kit) December 9, 2021

バージョン1.17以降でのみ公式の修正バージョンが現在リリースされているようです。改造されたバージョンには適用できていない可能性があるため、使用を控えてください。https://t.co/gqIbAi9eAC https://t.co/7HMmrvtiYW

— SaziumR (@SaziumR) December 10, 2021

log4j2というJavaのライブラリに任意のリモートコードが実行できる脆弱性が見つかったらしく界隈がざわついてます…
結構影響範囲でかいぞこれ

— あかんやつマン🥦 (@kabuakan) December 10, 2021

訂正：「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。

— SaziumR (@SaziumR) December 10, 2021

使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。https://t.co/qkwYDxsNlx

— SaziumR (@SaziumR) December 10, 2021

参照：https://twitter.com/SaziumR/status/1469162088757342209