log4jの脆弱性出した開発者って何考えてんねん (30レス)
上下前次1-新
3: 2021/12/19(日)12:42 AAS
>>1
書式文字列は一応別引数だが
書式文字列の方に間違って出力したい文字列を指定するやつが滅茶苦茶いたようだ
第二引数以降に何も指定していなければ大丈夫かと言うとそんな事はない設計なのがLog4j
4: 2021/12/19(日)12:52 AAS
「Log4j」の脆弱性を突く攻撃手段の情報共有は違法? 日本ハッカー協会に聞いた
https://news.yahoo.co.jp/articles/dfa4465084fa52ced61ccf695ba46d2848063cf0
日本は具体的な方法を書くと正当な理由があるかどうか問わず逮捕される美しい国だった模様
これを放置するキッシーは頭がおかしいに違いない
簡単に止められるアラートループ如きで補導して謝罪もしない基地外国家だし
実際にやりかねないね
5: 2021/12/19(日)18:35 AAS
日本人に論理的思考能力なんてないし根の部分は中華思想だから脅しで解決すると思ってるシンプルマインダーの集まりだよ
6(1): 2021/12/19(日)23:12 AAS
情報共有禁止て、、、
7: 2021/12/20(月)19:45 AAS
こんな脆弱性すぐに見つかりそうなんだけどねえ
8: 2021/12/20(月)22:34 AAS
まあ、そもそも恥部を晒すのが目的のモジュールだしなぁ
9: 2021/12/20(月)23:17 AAS
あ、logにパスワード出てたわ←あるある
10: 2021/12/23(木)02:22 AAS
>>6
これには中国も苦笑い
11: 2021/12/23(木)03:23 AAS
Javaが悪い
12: 2021/12/23(木)03:23 AAS
つまりOracleは悪
13: 2021/12/23(木)12:08 AAS
Sunとか知らない世代か
14: 2021/12/23(木)19:24 AAS
lookup機能っていうのか
15(1): 2021/12/25(土)09:38 AAS
ってか、文句言ってるやつ(外人含めてだが)って、人じゃねーだろ
タダ乗りしてなんの恩恵も与えずに問題が起きたときだけ元気よな
16: 2021/12/25(土)12:48 AAS
>>15
設計自体が頭おかしいから誰も同情してない
Appleのgoto failのバグとかは酷いけど
レビューとかテストしきれてなかったんだろうなあ、と起きた背景を理解は出来る
これはレビュー通したやつがクレイジー過ぎる、誰がデフォルトでそんな余計な機能が有効になってると思うんだ
17: 2021/12/25(土)13:13 AAS
Stackoverflow見ると書式文字列の部分に普通に文字列渡しちゃってる例が見受けられる
log4j公式はそういう使い方推奨してないんじゃね??
しらんけど
18(1): 2021/12/25(土)15:13 AAS
議事録の例えが面白かった。
Log4j2くんは会議の議事録を取る係です。
普段はみんなの発言をそのまま記録しています。
ある時、部長がコンビニでまんじゅう買ってきてと発言したら、
Log4j2くんは会議を抜け出してまんじゅうを買ってきました。
Log4j2くんはこの会社のあらゆる場所に入退室できる権限があります。
19: 2022/01/02(日)19:31 AAS
Log4j2が出てきたばかりの頃、Log4j1.xの一部の人が 「うーん、Log4j2は・・・」と
言葉を濁してた意味がやっと分かった。
20: 2022/01/02(日)19:32 AAS
int型(32ビット)でyy/MM/dd/HH/mmの形で日時を実装しているプログラムは、2022年1月1日0時0分(2201010001)に32ビットの最大値(2147483647)を越えてしまい、エラーが発生する。そういう実装をしているMicrosoft Exchangeでは既に問題が発生中。
みんな仕事始めになって気づいて大騒ぎに
21: 2022/01/03(月)19:38 AAS
パラダイムがそもそもリッチすぎて誰も手に追えない
22: 2022/01/03(月)20:22 AAS
>>18
面白いしわかりやすい
上下前次1-新書関写板覧索設栞歴
あと 8 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.013s