NI-Lab.

nilog:

← 前の日 2021-12-19 次の日 →
← 一年前 一年後 →
Twitter (2021-12-19)
RT @debian:
Updated Debian 11: 11.2 released https://dlvr.it/SFcvjX
[t] 2021-12-19 09:12:50
関連するかも情報
RT @dropwizardio:
Dropwizard 2.0.27 has been released with a bunch of dependency updates.

Upgrading is recommended due to a potential security issue with Logback <1.2.8.

Release notes:
https://github.com/dropwizard/dropwizard/releases/tag/v2.0.27
[t] 2021-12-19 09:12:25
RT @debian:
Updated Debian 11: 11.2 released https://dlvr.it/SFcvjX
[t] 2021-12-19 09:12:50
「今回の問題の最大の脅威は、攻撃者はすでにアクセスし終えて、そのままそこに潜んでいることです。たとえ問題を修正したとしても、すでにネットワークに侵入されてしまっている」

「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる https://wired.jp/2021/12/18/log4j-log4shell-vulnerability-ransomware-second-wave/
[t] 2021-12-19 09:26:34
「多くの中小企業と組織は、危険に晒されている箇所にパッチを当てることはおろか、自分たちがどれだけ危険に晒されているのか突き止める能力と人材すら持ち合わせていない」

「Log4j」の脆弱性によるセキュリティ危機には、さらに深刻な“第2波”がやってくる | WIRED jp https://wired.jp/2021/12/18/log4j-log4shell-vulnerability-ransomware-second-wave/
[t] 2021-12-19 09:27:07
RT @mainichi:
神田沙也加さん急死、所属事務所が発表
https://mainichi.jp/articles/20211219/k00/00m/040/013000c

12月18日午後9時40分に女優の神田さんが急死したことを所属事務所が公式サイトで発表しました。
[t] 2021-12-19 09:29:56
あら Version: 2.17.0 がリリースされてる。

Log4j – Download Apache Log4j 2 https://logging.apache.org/log4j/2.x/download.html
[t] 2021-12-19 09:33:32
リリース日付がMM-ddになってる。

Version Date
2.17.0 2021-MM-dd
2.16.0 2021-12-13
2.15.0 2021-12-06

Log4j – Changes https://logging.apache.org/log4j/2.x/changes-report.html
[t] 2021-12-19 09:35:06
Maven Central ってバージョンごとに脆弱性があるか表示してくれるのか。

Maven Repository: org.apache.logging.log4j » log4j-core https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core https://twitter.com/nilab/status/1472366158712311810/photo/1
Maven Central ってバージョンごとに脆弱性があるか表示してくれるのか。 Maven Repository: org.apache.logging.log4j » log4j-core
元の画像を見る
[t] 2021-12-19 09:40:22
Log4j 2.16.0 にも脆弱性があるから 2.17.0 にバージョンアップしてねってことか。セキュリティ更新。

"Apache Log4j2 versions 2.0-alpha1 through 2.16.0 did not protect from uncontrolled recursion from self-referential lookups."

Log4j – Apache Log4j 2 https://logging.apache.org/log4j/2.x/index.html
[t] 2021-12-19 09:47:11
CVE-2021-45105 の脆弱性は log4j-core にだけ存在。2.17.0 で解決。log4j-api は問題なし。

"Applications using only the log4j-api JAR file without the log4j-core JAR file are not impacted by this vulnerability."

Log4j – Apache Log4j Security Vulnerabilities https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45105
[t] 2021-12-19 09:56:25
Log4j 脆弱性の話題が世間的に盛り上がればセキュリティ対応って大切なんだなってみんな思ってくれるようになるんだろうか。支えてくれている土台が無償ボランティアだったりすることもあるオープンソースのソフトウェアだということも認識されるようになるのかも。
[t] 2021-12-19 10:02:01
E-mail from YouTube Creators. https://twitter.com/nilab/status/1472373035726704641/photo/1
E-mail from YouTube Creators.
元の画像を見る
[t] 2021-12-19 10:07:41
なにかおかしいなと思ったら Log4j 2.15 と Log4j 2.17 しか追いかけていなかった。間に Log4j 2.16 が出てたのね(;´Д`)
[t] 2021-12-19 10:23:29
ここまでで3つの脆弱性対応バージョン。どの対応も log4j-api では問題なく、log4j-core に脆弱性があるものへの対応。

2.15.0 話題の脆弱性対応版 (2021-12-06)
2.16.0 追加修正 (2021-12-13)
2.17.0 追加修正 (2021-MM-dd)

Log4j – Apache Log4j Security Vulnerabilities https://logging.apache.org/log4j/2.x/security.html
[t] 2021-12-19 10:23:56
「2.15.0では、原因となっているMessage Lookup機能をデフォルトで無効に設定した上で、有効にした場合でもホワイトリストメカニズムによって明示的に許可されたホストのみ利用できるように変更」

Apache Log4j 2.15.0の脆弱性対応は不十分、2.16.0へのアップデートが必要 https://news.mynavi.jp/techplus/article/20211216-2228638/
[t] 2021-12-19 10:25:39
「2.16.0ではMessage Lookup機能そのものが削除され、さらにデフォルトでJNDIへのアクセスを無効にするように設定された」

Apache Log4j 2.15.0の脆弱性対応は不十分、2.16.0へのアップデートが必要 | TECH+ https://news.mynavi.jp/techplus/article/20211216-2228638/
[t] 2021-12-19 10:25:49
【話題のキーワード】
1. ご冥福をお祈りします
2. カゲロウ
3. アギレラ様
4. ゼンカイジャー
5. ハカイザー
6. ヒロミさん
7. ゾックス
8. 親の七光り
9. 自死
https://search.yahoo.co.jp/realtime #buzzbot
[t] 2021-12-19 10:30:57
2012年の頃の自分。

「JavaのロギングといえばLog4Jだけど外部ライブラリに依存するのが嫌で自前のラッパーを書いた。Commonsラッパーは使わない」

https://twitter.com/nilab/status/169581041776988161
[t] 2021-12-19 10:32:04
企業の研究費にかける割合が高すぎても低すぎてもというやつ。

「珍しい技術あれば、チートになれると思ってる人、これが現実やぞ」

これ、失敗の要素全て詰まってるわ。ある意味すごい。 「1500万円を元手に居酒屋経営→1年で破綻の訳は?」 - Togetter https://togetter.com/li/1818117
[t] 2021-12-19 10:36:39
スマホに触らないと成長するアプリとかあった気がする。仕組みでなんとかする感じが似てる。

「撮影しているからスマホに触れない」「撮影しているのでサボることもできず」

女子高生に流行中の「タイムラプス勉強法」はなぜ効果的? - CNET Japan https://japan.cnet.com/article/35180835/
[t] 2021-12-19 10:39:19
2021年12年19日のnilogをすべて表示する

- NI-Lab.
- Mastodon (@nilab@mastodon-japan.net)
- Twitter (@nilab)
- Timelog (@nilab)
- はてなブックマーク (id:nilab)

Web Services by Yahoo! JAPAN