当時は“世界最先端”だった――日本の「ケータイアプリ」の歴史を開発目線で振り返る

当時は“世界最先端”だった――日本の「ケータイアプリ」の歴史を開発目線で振り返る:ITmedia Mobile 20周年特別企画(1/4 ページ) 昔のケータイ(フィーチャーフォン)は、「Java」または「BREW」で構築したアプリを楽しむことができました。かつて「ケータイ向けWebブラウザ」に携わっていた筆者が、かつてのケータイ向…

AWSアカウントを「Log4Shell」で乗っ取る方法が報告される

JavaのLog4jライブラリに存在していたリモートコード実行を可能にする脆弱性「CVE-2021-44228(Log4Shell)」を突いてAWSアカウントを乗っ取る方法をセキュリティ企業のGigasheetが公開しました。 AWS Account Takeover via Log4Shell https://www.gigasheet.co/post/aws-account-takeover-via-log4shell Log4Shellは2021…

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド(阿里雲)…

log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も

Apache Log4j 2における深刻な脆弱性「Log4Shell(CVE-2021-44228)」の問題が世間を騒がせている。米Microsoftやセキュリティ企業のCheck Point Softwareなどの発表によると、この脆弱性が中国、イラン、北朝鮮、トルコなどの集団により悪用されているという。中国を拠点とする攻撃者集団「HAFNIUM」などがこの脆弱性を利用して仮想化インフラを攻撃しているととされる。12月10日以降、Log4Shellを用いたサイバー攻撃が72時間ほどで急増中とされ、…

log4j2の脆弱性を使って実際に任意コード実行してみました👀

こんにちは。かえると言います。 Twitterでは https://twitter.com/harukaeru_en で活動しています。日本人です。 日本語版: https://twitter.com/harukaeru1981 何番煎じかわかりませんが、log4j2の任意コード実行ができるようなので、実際に実行してみて、どれぐらい危険なのかをここに書くことにしました。 どういう…

-verbose:class オプションを使ってLog4j利用の有無、Log4jを利用しているクラスを調査する | yusuke.blog

Log4jの脆弱性 Log4jの脆弱性が騒ぎになっています。権限の昇格はないものの、Javaプロセスを動かしているユーザーの権限で出来ることは何でも出来てしまい、しかも攻撃も容易なため今すぐに対処すべきです。 条件により脆弱性が問題とならなかったり、システムプロパティの設定により問題を回避することが出来たりしま…

Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO

先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました …

30億のデバイスで任意コードが実行できちゃうJava – Qiita

免責事項 こちらの記事で紹介する内容は、教育目的または脆弱性について仕組みを理解し周知、啓発を行うためだけに作成しております。 ぜったいに、悪用しないでください。 記載されているコードを実行した場合に発生した損害には一切責任を負いません。 理解される方のみ下にスクロールしてください。 経緯 2021/12/9に…