Linuxに関する翻訳をしていくスレ (183レス)
上下前次1-新
抽出解除 レス栞
リロード規制です。10分ほどで解除するので、他のブラウザへ避難してください。
116(2): 2021/12/25(土)23:42 ID:xy41Jf5n(8/9) AAS
>>116
セキュリティ脆弱性を防ぐには?
公式発表によると、Apacheは、Log4j v2.15.0で初期パッチをリリースし、攻撃者による任意のコードの実行を防止しています。
『設定、ログメッセージ、パラメータで使用されるJNDI機能は、攻撃者が制御するLDAPや他のJNDI関連エンドポイントから保護されていません。ログメッセージやログメッセージパラメータを制御できる攻撃者は、メッセージの検索置換が有効な場合、LDAP サーバから読み込んだ任意のコードを実行することができます。log4j 2.15.0 からは、この動作はデフォルトで無効化されています。』
また、Sophosのようなサイバーセキュリティ企業が、サーバー(LinuxとWindows上)でこの脆弱性をテストしたり、検出や緩和、パッチするためのブログ記事をアップしているのを見つけることができます。
最近、Apache は Log4j の更新を行い、この脆弱性の原因となる動作を無効にし、リモートの攻撃者があなたのサーバーでコードを実行できないようにしました。
117: 2021/12/25(土)23:59 ID:xy41Jf5n(9/9) AAS
>>116
Apache Log4j 2.16.0がリリースされました。Apache Logging Services Project Management Committee (PMC)の皆さん、24時間体制での迅速なリリースの提供に感謝します!
— Apache – The ASF (@TheASF) 2021年12月13日
したがって、Apache Log4j 2.15.0 または 2.16.0 リリースにアップグレードすることによってのみ、アプリケーションおよびサーバに対しての、この不具合から守ることができると考えてよいでしょう。いずれの場合も、すぐにアップグレードするのが難しい場合は、Sophosなどのサイバーセキュリティ企業によるいくつかの緩和ガイドを参照することができます。
主要なIT企業は、この問題を解決するために、24時間体制で取り組んでいます。しかしこれは、モバイル機器のアプリをアップデートするほど簡単ではありません。
現在のところ、攻撃者はこのセキュリティ上の欠陥を利用して、デバイスを危険にさらし始めています。正確な数字はわかりませんが、サイバーセキュリティの専門家にとっては、穏やかな年末年始の休暇とはならないでしょう。
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.018s