情報技術の世界は、膨大な量のコンピュータシステムに分散している脆弱性の発見に再びショックを受けています。一部の推定によれば、インターネット上の既存のWebシステムの70%に到達するとのことです。
しかし、可能な限り順番に進めましょう...
24年2021月XNUMX日、セキュリティ研究者のChen Zhaojun AlibabaCloudセキュリティチーム は、2013年から使用されているApache Javaライブラリに脆弱性を発見しました。この脆弱性の影響を受けるバージョンは2.0から2.15.0-rc1の範囲であり、数日以内に他の研究者がさらに新しいバージョンの新しい脆弱性を発見しました。
パッチとバージョンはお互いを追いかけます... これを書いている時点で、ライブラリの新しいバージョン2.17がリリースされています。 この新しいバージョンに問題がないかどうかを確認するのは興味深いでしょう。 速攻は悪い助言者であることを常に覚えています。
検出された脆弱性は、RCEタイプ、つまり「リモートコード実行」です。 これは、攻撃者がシステムにダウンロードして実行するように指示することを可能にする脆弱性です 悪質なコード (もっと好奇心が強いので、私は次の記事をお勧めします unit42).
次のソフトウェアとシステムが現在リスクがあると報告されています:Apache Struts、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、Flume、Apache Dubbo、Logstash、Kafka、Spring-Boot-starter-log4j2、Cloudflare、iCloud、Minecraft:Java Edition、Steam、Tencent QQ、Twitter。 しかし、インターネットでの簡単な調査で簡単に理解できるので、Apache Log4jを利用する主要なICT企業の製品はたくさんあります。たとえば、CISCOは、スペースの理由で私が持っていない表を公開していますが、あなたは相談することができます このリンクで.
マイクロソフトの世界 脆弱性の影響を受けた製品を報告しました そしてそれを解決するための指示を提供しました。 一方、Linuxシステムを使用している場合、安全だとは思わない場合は、この記事でその方法に関する情報を確認できます。 あなたが脆弱かどうかを理解する.
最後の詳細として、脆弱性に起因するCommon Vulnerability Scoring System(CVSS)として広く知られている脆弱性の危険性のレベルは、可能な最大値である10に等しくなります。 広く使用されているリスク指標は、ケナリスクスコアでもあります。 私たちの場合、87のうち100に等しい、非常に高い値。
リスクのレベルについて話すことで、一般的にセキュリティの世界またはセキュリティの世界のいわゆる「真実」に関係する最終的な検討を行うことができます。 そのソフトウェアを聞くのは誰にでも起こったと思います オープンソース それらのコードはセキュリティ分析のために誰でも利用できるため、プロプライエタリのものよりも安全です。 私の人生の中で何度もそれが言われるのを聞いたことがあります。 ただし、一方ではステートメントの価値に同意する場合、他方では、おそらくすべての人に明確ではないいくつかの概念を強調したいと思います。
- ソフトウェア オープンソース (他のプロプライエタリソフトウェアと同様に!)制御の可能性に関する一般的な声明に基づいて、単独で排他的に問題がないと見なすことはできません。
- ソフトウェアが オープンソース コードを検証するために誰かに与えられる可能性があるため、それらはより安全です-それは危険です。 実際、それらを使用する人のほとんど(そしてこれらの中には、それらを製品に再利用する開発者も入れています)は、必要なチェックを行うための知識も、そうする動機もありません。
私が言っていることは多くの人を喜ばせないことを私はよく知っていますが、これは私が言っていることの最後の証拠にすぎません:Log4jは オープンソース それでも、それが引き起こす可能性のある問題を理解するのに何年もかかりました。HeartbleedはXNUMX番目の例です。 これは、私がソフトウェアの使用に反対しているということではありません オープンソース、しかし、リスクのレベルを高めるので、適切なサポートなしで、彼らの「野蛮で無差別な」使用に反対すること!
最後の考察は、発見が「世界の反対側にある研究所」から来たという事実に関連しており、今、私たちはカバーのために走る必要があります。 そして、私が走ると言うとき、私はそれだけを意味します...
もっと知ることができます。
- Log4Shellの脆弱性は、2021年の私たちのストッキングの石炭です| マカフィーブログ
- CVE-CVE-2021-44228(mitre.org)
- Log4jの脆弱性、すべてのJavaアプリはリモートコード実行のバックドアです| カール・マリーノCodeX | 2021年XNUMX月| 中くらい
- Log4jの脆弱性:ゼロデイ欠陥について知っておくべきことすべて| ToolboxItのセキュリティ
- Informaticaネットワーク:Apに対するInformaticaの応答..。
- Apache log4jの脆弱性CVE-2021-44228:分析と軽減策(Paloaltonetworks.com)
- Log4Jの脆弱性はどの程度危険ですか? (darkreading.com)