- 1二次元好きの匿名さん21/12/10(金) 21:56:58
【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。
<a href="https://www.spigotmc.org/threads/security-releases-%E2%80%94-1-8-8%E2%80%931-18-1.537204/" target="_blank">spigotmc.org/threads/securi…</a> — SaziumR (SaziumR) 2021年12月10日事が事なのでSNSとかやらない廃あにまん民向けに
この件についての対策パッチが当てられないサーバーには絶対に入りませんように
- 2二次元好きの匿名さん21/12/10(金) 21:57:35
助かる
- 3二次元好きの匿名さん21/12/10(金) 21:58:58
マジで無対策サーバーには入らないように!セキュリティホール発見されたとの事で
最悪サーバーにつないでる人はウィルス仕込まれたり個人情報漏洩に繋がりますからね!!!
サーバーを建ててる人はもっと危ないのですぐにサーバーを落としてください - 4二次元好きの匿名さん21/12/10(金) 22:01:49
マジで詳しくなくて申し訳ないんだけど脆弱性って何?そんな簡単にウイルスって入ってこれるものなの?
- 5二次元好きの匿名さん21/12/10(金) 22:04:06
さじうむあーる先生…!
- 6二次元好きの匿名さん21/12/10(金) 22:05:33
えっ?これってマイクロソフト側の不具合とかじゃなくてウイルスってこと…?
- 7二次元好きの匿名さん21/12/10(金) 22:06:04
- 8二次元好きの匿名さん21/12/10(金) 22:06:33
スレじゃねえ、あにまん鯖だわ
- 9二次元好きの匿名さん21/12/10(金) 22:08:31
- 10二次元好きの匿名さん21/12/10(金) 22:11:15
正確に言うとJavaのライブラリに脆弱性がある
鯖にアクセスしてる人のPCでできることは何でもできるかなり大きい脆弱性だから、アクセスしないほうがいいよ
悪い人が鯖に入ってチャット打つだけでできるから - 11二次元好きの匿名さん21/12/10(金) 22:12:43
特にこれが公表されたのでゼロデイ攻撃があるから注意
ゼロデイ攻撃ってのは情報が公表された瞬間に便乗して公表された弱点を狙いに来る悪い奴らによって
攻撃の数が増える事ね(間違ってるかも) - 12二次元好きの匿名さん21/12/10(金) 22:15:30
iCloudはどうなの?
- 13二次元好きの匿名さん21/12/10(金) 22:21:05
Javaのあにまん鯖は…もう…
生き残りは統合版あにまん鯖とかに行った - 14二次元好きの匿名さん21/12/10(金) 22:23:51
用はパソコンでマイクラ今はやめとけって話?
- 15二次元好きの匿名さん21/12/10(金) 22:57:44
シングルはOKマルチはやめとけ
- 16二次元好きの匿名さん21/12/10(金) 23:06:36
普通攻撃されるのはサーバだけだから問題ないんじゃ、って思ってたけどサーバへの攻撃経由でローカルのマイクラにコマンドを仕込まれる可能性があるってこと?
- 17二次元好きの匿名さん21/12/10(金) 23:13:05
log4j2ってJavaの主要ロギングライブラリじゃん
影響でかそうっすね - 18二次元好きの匿名さん21/12/10(金) 23:17:30
ゼロデイ攻撃は脆弱性が出てから修正パッチが作られるまでの期間での攻撃なので厳密には違う
今回の場合は既にlog4j2の脆弱性は修正済みなので各種サーバー管理者がパッチ適用すればいいだけ
ただ、パッチ適用までの期間を狙って攻撃してくる人は多いだろうから注意が必要なのはそう
- 19二次元好きの匿名さん21/12/10(金) 23:24:58
パソコンに詳しくないんだがJavaに任意のコードを実行できてしまう問題があって、マイクラだけでなくlog4j2とやらを利用しているもの全てが危ないってこと?
- 20二次元好きの匿名さん21/12/10(金) 23:31:04
log4j2というJavaのライブラリに任意コード実行のバグがあるからそれ使ってるソフトウェア全般に潜在的な問題がある
ちなみに脆弱性内容がログ書き込みをコード実行してしまうものらしいので、マイクラのチャット欄で任意コード書いたら実行されてしまうらしいので再現が容易
はっきり言って脆弱性としてはあまりにも酷すぎるレベル
ちなみに外部からどのライブラリを使ってるかなんてわからないので自分が使ってるサービスのアナウンスを見て、それ通りに対応すればいいよ
- 21二次元好きの匿名さん21/12/11(土) 00:33:12
詳細分からんけどログ出力時にOGNL式だかリフレクションだか何かでコード実行されるって感じ?
ログ出力で必要なのって精々フォーマットくらいじゃね?なんでそんな機能が? - 22二次元好きの匿名さん21/12/11(土) 00:40:31
- 23二次元好きの匿名さん21/12/11(土) 00:46:04
わからんが、log4j2くらいの規模だと多分設定オプションめっちゃあるだろうからそこらへんの処理でインジェクション汚染したんだろうと思う
オプションでシェルスクリプト受け入れからのユーザー入力をサニタイズせず同じように処理してインジェクションはわりとある話ではある
どっちにせよお粗末だけど
- 24二次元好きの匿名さん21/12/11(土) 01:58:37
何にせよこれで1.1☓までしか対応しませーんってなったら有名所も含めてmodサーバーは軒並み死ぬんじゃね?
- 25二次元好きの匿名さん21/12/11(土) 02:01:03
しかも裏口の場所と入り方は広まっちゃってる感じね
- 26二次元好きの匿名さん21/12/11(土) 11:28:52Log4Jゼロデイ脆弱性の概要と手法・対策方法 - Qiita脆弱性の概要
Log4Jとは、Apacheが開発するJava用のロギングライブラリ。
Log4Jには、lookupという機能が含まれており、ログ出力時にランタイムに情報を出力することができる。
例として、${java:runti...qiita.com> Jndi Lookupは、ネットワーク上から値を取得し置換するものである。
> そのLookupの対象がLDAPの場合、指定されたURLからダウンロードしたクラスファイルを実行する
コワ~…
- 27二次元好きの匿名さん21/12/11(土) 17:57:33
しゃあ