オープンソースのログ出力ライブラリー「Log4j」の脆弱性が、世界的な脅威として波紋を呼んでいる。数億台規模のデヴァイスが攻撃に晒される危険性があるにもかかわらず、問題に気付かない組織が今後も多く存在する可能性があるからだ。このため「Log4Shell」と名付けられた今回の脆弱性は、広範囲かつ長期にわたる問題になると指摘されている。
…
Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO
IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。 $ host 75.2.71.201 201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com. $ host 52.194.15.214 214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-…
何十億台のスマートフォンに搭載されるWi-FiチップやBluetoothチップをとっかかりにしてパスワードやデータを盗み出す攻撃手法が開発される
デバイスのBluetoothコンポーネントに攻撃を仕掛けることでパスワードの抽出やWi-Fiチップ上のトラフィック操作を可能にする手法をドイツのダルムシュタット大学やイタリアのブレシア大学の研究チームが公開しました。 Attacks on Wireless Coexistence: Exploiting Cross-Technology Performance Features for Inter-Ch…
Trivy + Regoを用いたパッケージ脆弱性管理 /trivy-rego
Transcript Trivy + Regoを用いたパッケージ脆弱性管理 Ubie株式会社 水谷 正慶 Ubie Tech Talk 2021.12.14 (Tue) Confidential 2 会社概要 自己紹介 水谷 正慶(@m_mizutani) Ubie Discovery セキュリティエンジニア 略歴: 2011/4~ 日本IBM(東京基礎研究所、SOC) 2017/10~ Cookpad株式会社 2021/09~ Ubie株式会社 医師…
システムの重要な基盤「Log4j」の脆弱性が、世界中に“破壊的”な影響を及ぼしている
人気ゲームの「Minecraft」をはじめ幅広いシステムやサーヴィスで使われているJavaのログ出力ライブラリー「Log4j」の脆弱性が、世界的に深刻な問題を引き起こしている。バグを悪用されると脆弱なシステムを容易に遠隔操作される恐れがあり、関係者が対応に追われているのだ。セキュリティ専門家たちは今回の問題を「ひどい状況」であるとして、警戒と対応を呼びかけている。
…
Apache Log4j 2 CVE-2021-44228 – Docker Blog
We know that many of you are working hard on fixing the new and serious Log4j 2 vulnerability CVE-2021-44228, which has a 10.0 CVSS score. We send our #hugops and best wishes to all of you working on this vulnerability, now going by the name Log4Shell. This vulnerability in Log4j 2, a very common…
Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO
先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました …
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11 I. 概要 公開: 2021年12月11日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 JavaベースのオープンソースのロギングライブラリのApache Log4j…
Apache Log4j2 Remote Code Execution (RCE) Vulnerability – CVE-2021-44228 – ESA-2021-31
Summary: A high severity vulnerability (CVE-2021-44228) impacting multiple versions of the Apache Log4j 2 utility was disclosed publicly via the project’s GitHub on December 9, 2021. The vulnerability impacts Apache Log4j 2 versions 2.0 to 2.14.1. This announcement summarizes any potential impact…
Apache Log4j2 Security Bulletin (CVE-2021-44228)
Initial Publication Date: 2021/12/10 7:20 PM PDT AWS is aware of the recently disclosed security issue relating to the open-source Apache “Log4j2" utility (CVE-2021-44228). We are actively monitoring this issue, and are working on addressing it for any AWS services which either use Log4j2 or prov…