Javaのライブラリ「log4j2」に外部からコマンド実行可能な脆弱性が発見されIT業界が阿鼻叫喚 既に悪用コード出回る
対策を早急に行ってください。
SNSでの反応をまとめました
Log4jの脆弱性の話、現在進行形で影響範囲が広がってるっぽいので注視が必要そう
元々Log4j2だけの話だったのが1にも影響するんじゃないかって話になってる、、、https://t.co/du0rTXHNkL— wrongwrong (@wrongwrong16337) December 10, 2021
【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。https://t.co/8EWDGwrLWI
— SaziumR (@SaziumR) December 10, 2021
今回のlog4j2の脆弱性かなりヤバくないか?これ特定のテキストをログ出力させるだけで任意のclass実行できちゃうってことやろ???
— かずえもん (@kazuemon_0602) December 10, 2021
あの話は log4j2 の話だから、と TL で言ってる人がくらかいるけど、フォロワさん情報によると 1 も可能性あるって流れになってるらしいので「log4j やばい」でいいと思う。
— mattn (@mattn_jp) December 10, 2021
log4j2の件、
– 情報をキャッチできるアンテナがある
– 一次情報から攻撃方法と影響を読み取れる
– 対象システムを即時に調査できる権限がある
– Javaのクラスローダーについて知識がある
– Javaのロギング事情がカオスなことを知っている
という条件が揃ったエンジニアが必要なので多分沢山やられる。— 嶋田大貴 (@shimariso) December 10, 2021
公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。https://t.co/gPu63ofaIp
— SaziumR (@SaziumR) December 10, 2021
log4j2の脆弱性、formatMsgNoLookupsで治るという情報が流布されてますが、この機能が追加されたのがlog4j2.10で、minecraft 1.17以降でないと機能しないと考えられます
— 翳川翔 プログラム言語ヲタク ForgeGradle識者 (@kakerigawa) December 10, 2021
log4jゼロデイ個人メモ
Java開発では一般的に使うので被害範囲が広そう。
公式アドバイザリもCVE採番もまだ。
パッチはまだ出てない(開発版ならlog4j-2.15.0-rc1)
回避策 log4j2.formatMsgNoLookups へTrueセットしてサーバ起動。
log4j2だけじゃなく log4j1.xも対象と思われる。— NvrCry (@GenKa_232) December 10, 2021
今回騒がれている"log4j2"というのは、どうやらマイクラを動かしてるJavaのライブラリの話らしい…
だから、これはマイクラに限らず、Javaに関係する色々なところで影響を受けるのかな?
もしかして、影響がある範囲はめちゃくちゃ大きそう…?— 🐻白くまさん🐱 (@abc_kuma1025) December 10, 2021
log4j2にリモートコード実行の脆弱性が見つかったらしい
— 没個性 (@_shouth_kit) December 9, 2021
バージョン1.17以降でのみ公式の修正バージョンが現在リリースされているようです。改造されたバージョンには適用できていない可能性があるため、使用を控えてください。https://t.co/gqIbAi9eAC https://t.co/7HMmrvtiYW
— SaziumR (@SaziumR) December 10, 2021
log4j2というJavaのライブラリに任意のリモートコードが実行できる脆弱性が見つかったらしく界隈がざわついてます…
結構影響範囲でかいぞこれ— あかんやつマン🥦 (@kabuakan) December 10, 2021
訂正:「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。
— SaziumR (@SaziumR) December 10, 2021
使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。https://t.co/qkwYDxsNlx
— SaziumR (@SaziumR) December 10, 2021