読んでいる ＞＞

相当ヤバいね。

気になる今日のニュース
日本郵便、約21万人分の顧客情報を紛失 “紙多すぎ”で扱いきれず

＜「うちのシステムはチャットとかないし」は通用しなくて、通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう＞

わあ。ヤバい。

ほぼわからないけど”脆弱性を使って脆弱性を直すって発想”って凄いね

至る所でApache Log4jの脆弱性が話題になってるけど、この記事は分かりやすくて勉強になった。脱メインフレームでJava使ってるところなんて沢山ある。

会話形式なのが分かり辛いが、今回の問題点が理解しやすい形で記載されている。＞

気になる今日のニュース
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？ 日本ハッカー協会に聞いた

最近話題のlog4j。何でこんな機能が入ってるんだろうか

非常にわかりやすい！

Apache Log4jの脆弱性はこの記事を使うと説明しやすかったです。

おじいちゃん「CVSSスコア？仮想マシン？ロギングツール？サーバサイド？」

一般向けに分かりやすい記事。業務用サーバーでよく使われるRHELだとv2系使ってないから問題はなかったぽい。現職場的には。

脆弱性のLog4shell祭り当面続きそうですが、非サーバーサイドエンジニアが影響を理解するにはこの記事がわかりやすいかも。☞

今週、エンジニア界隈でだいぶ騒がれて、Apple含め色んな企業が対応に追われたLog4jの脆弱性の話。
分かりやすいので興味ある人はぜひ。

分かりやすい。

自分が今の業種に就いてからは一番ヤバイ案件。

Log4jマジやべーじゃん。
日本沈没観てたから、影響のエグさがなお想像できた。

分かりやすかった。

"「うちのシステムはチャットとかないし」は通用しなくて、通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう。つまり待ったなしの状況ということです"

「ログに記録させるだけで任意のリモートコードを実行できてしまう」「XSSどころの話ではない」「Log4jはなぜか『ログに記録した文字列に特定の命令が書いてあったら外部からプログラムを読み込みます』という実装を」

ひっ……そんなこと起きてたの……本社大丈夫なんかな……購入したソフトウェアを専門企業の鯖で走らせてるだけだとは思うが全く詳細知らないから怖いのぅ

非エンジニアだけど専門用語多過ぎて雰囲気しかわからんかった。

Log4j問題、ちょっと優しく解説されてます。

これわかりやすい |

｡ﾟ( ﾟஇωஇﾟ)ﾟ｡

初報の「ヤバすぎる」という表現が、キャッチ－さを狙ったのでなく、マジでヤバすぎてヤバすぎるとしか言えなかったヤツか…

これは結構イイ記事ですね！読みやすい！

エンジニア連中がバタバタしてるんでなんだろうと読んでみたら、テクサポレベルの知識でもめっちゃヤバいとわかるヤツだった…。

非エンジニアの方にもわかりやすい説明で良き。

自分にもヤバさが分かる良記事

»

関係ないと思ってるエンジニアじゃない人に読んで欲しい

自分の現場でも大騒ぎですが、log4jの脆弱性についての記事。開発経験浅い自分でも分かりやすかったです。

Log4jのVer2.xはアップデートをいち早く適用するとして、当初Log4jのVer1.xにも影響するって話がありましたよね。
あれは結局影響しないで確定っぽいです。
JPCERT/CCのページで13日に追記された部分に詳細がありますけど、「影響は受けない」でOKのようです。

😶‍🌫️😶‍🌫️😶‍🌫️

ウチはチャットとかないから、が通用しない。「通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう。待ったなしの状況」。◆

(｡･ω･｡)ﾉ

これは初心者でもヤバさが伝わりそうな良い生地

Javaロギングツール

「Javaがエンタープライズの開発でメジャーな言語である」

「プログラムはほとんどがログを内部で出力・保存する」

解決とは言い難いなら、起動は見送る。Σ(￣ロ￣lll)

通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう。つまり待ったなしの状況

CISOから直属上司まで log4j や Log4Shell というキーワードを何となくしか知っていない全ての方々に読んでもらって欲しい

すげぇなｗｗｗ
何を考えてそんな機能組み込んだんだｗｗｗ
必要性が判らんｗｗｗ

「Log4j」のトラブルってどうヤバいの？

"「うちのシステムはチャットとかないし」は通用しなくて、通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう。つまり待ったなしの状況"

ヤバいねぇ(._.)φ

これ自体がトロイの木馬。
（なんでこんな機能があるのか・・・）

「通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう。」

これが分かりやすい

ねーほんとにー

これなーー

結構やばいやつなんだなぁ。
Javaエンジニアじゃなくて良かった。

Javaなんて業務系システムからwebサービスまで幅広く使われてるからねえ。

非エンジニアには結局伝わらないような気はするが読みやすくはあった

この人もTwitterのTLに情報を掴んだらしい。エンジニアはTwitterやってないと失格みたいよw

だいたいわかった、ような気がする！

"今いえることは、インターネットでサービスを提供していてJava開発に少しでも心当たりがある企業は今すぐに調査して対策しましょう"

読んだ感想が「なんでログにあるだけの文字列を実行してしまうのか」しかないな。

ITmedia:

みてる：

勉強しておかないと… →

"通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう"

詳細は理解できてないけど、WEBサーバに簡単に攻撃できそう…
まあ、これだけ騒がれてるから、エンジニアは対応してるはず？

なるほど、ヤバさが分かりました／「Log4j」のトラブルってどうヤバい の？ 非エンジニアにも分かるように副編集長に解説させた

思ってるよりやばいのかな。
さてこれからどうなるか。

,良い記事。

一番の問題は、サラッと読んだだけではまったく深刻さがわからないから解説者が必要ということ

“通信リクエストを投げられるだけでもサーバ側はそれをログとして保存するので攻撃が成立してしまう” 今回の脆弱性のヤバいの、ここなんだよな。悪意のあるコードを含んだURLを投げるだけで攻撃が成立しちゃう

マツ「こんなの見たことある。日本沈没とかの世界だ」→

なんとなく問題点の認識はあっていたようだ。
ただすでに乗っ取られてても
判らんのでは？というのは
どうすりゃいいのかな。。。

何か微妙な記事。。。このふろんとえんどえんじにあはlog4j対応を見誤ってないかな。。。
「実は今日、シリコンバレーのエンジニアと話してたんですけど、『俺、フロントエンドエンジニアでよかったよ」って言ってました。」

ヤバさはよくわかったｗ
しかし、旧バージョン1.xは無関係なのか…社内周知せねば

今話題のLog4jのざっくり解説。
※技術的なことは書いていません。

平たく言うと、さやしさん結婚してくださいと公式垢へリプするだけでリアルに結婚できちゃうくらいの脆弱性ということか🤔

え、マジでヤバいな･･･。
--

「Log4j」のトラブルってどうヤバいの？というのを、エンジニアではない2人が理解できるように副編に語らせた記事です。ヤバさがいまいちわからないよーって方はご一読を！

javaなんて使わないだろ、って思ってたら、相当使われてるのね・・・自分は使いたくない派なんですが（´･ω･`）というか、ログの文字列から実行するって、意図的につけないと実装されない機能ですなぁ・・・

Log4jの件、気になってる方はこちらを読んでおいた方がいいと思います。かなり影響範囲は大きいと思いますし、暗黙のうちに入れてしまっている可能性もありますし。

今ちょうど自分も、非ITエンジニア職の方とこういう話をしてた

非エンジニアには「ブートローダー」がわかりにくいと思うけどだいたいあってる

キーチ、何者なんだ…… ＞

新着のIT業界ニュースだにゃ。IT業界志望の学生はぜひチェックしてにゃ。

ヤバいのは分かるけど具体的に何ができるかというのが分かりやすくて、全く門外漢の自分にはよかった

＞Log4jはなぜか「ログに記録した文字列に特定の命令が書いてあったら外部からプログラムを読み込みます」という実装をしていた

キーチ いきなりハードルが高い