[雑談] いろいろ。

• Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン（以降はLog4j2と記載）で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 １．何が起きたの？ Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性（CVE-2021-44228）を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリで…

https://piyolog.hatenadiary.jp

• 世界のWebサーバの3分の1に影響？ Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説 - ITmedia NEWS

世界のWebサーバの3分の1に影響？　Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

JavaライブラリApache Log4jで見つかった脆弱性について、JPCERT/CCが攻撃の仕組みと対策方法を公開し注意を促した。

https://www.itmedia.co.jp

• Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起 (JPCERT/CC)

Apache Log4jの任意のコード実行の脆弱性（CVE-2021-44228）に関する注意喚起

https://www.jpcert.or.jp

• Apache Log4j の脆弱性対策について(CVE-2021-44228)：IPA 独立行政法人 情報処理推進機構

更新：Apache Log4j の脆弱性対策について(CVE-2021-44228)：IPA 独立行政法人 情報処理推進機構

情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施

https://www.ipa.go.jp

• 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か - ITmedia NEWS

「やばすぎる」　Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能　iCloudやSteam、Minecraftなど広範囲のJava製品に影響か

Javaで使われるログ出力ライブラリ「Apache Log4j」に特定の文字列を送ることで、任意のリモートコードを実行できるようになる（Remote Code Execution, RCE）、ゼロデイ脆弱性があることが分かった。Java開発製品の広範囲に影響するとみられる。

https://www.itmedia.co.jp

• Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始 - ZDNet Japan

Apache Log4jに深刻な脆弱性、IT各社が調査対応を開始

Javaのログ出力ライブラリー「Log4j」で深刻な脆弱性が見つかり、これを悪用する攻撃が日本で確認された。

https://japan.zdnet.com

• CVE-2021-44228 Apache Log4j 2 に対するマイクロソフトの対応 – Microsoft Security Response Center

/blog/2021/12/microsofts-response-to-cve-2021-44228-apache-log4j2-jp/

https://msrc-blog.microsoft.com

• JavaのLog4jライブラリで発見された脆弱性「CVE-2021-44228」はなぜ世界中に大きな影響を与えるのか？ - GIGAZINE

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか？

Javaのログ出力ライブラリであるApache Log4jで、リモートコード実行のゼロデイ脆弱(ぜいじゃく)性「CVE-2021-44228」、通称「Log4Shell」を修正したバージョンが、日本時間の2021年12月10日に公開されました。このライブラリは広く利用されていることから、このゼロデイ脆弱性は過去に類を見ないレベルでさまざまな方面に深刻な影響を及ぼすと見られています。このCVE-2021-44228について、CDNサービス企業であるCloudflareが解説しています。

https://gigazine.net

• BlueTeam CheatSheet * Log4Shell* · GitHub

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC

BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC - 20211210-TLP-WHITE_LOG4J.md

https://gist.github.com

• GitHub - YfryTchsGD/Log4jAttackSurface

GitHub - YfryTchsGD/Log4jAttackSurface

Contribute to YfryTchsGD/Log4jAttackSurface development by creating an account on GitHub.

https://github.com

• 中国人研究者から技術流出、先端兵器に？ 日本も「千人計画」警戒強化：朝日新聞デジタル

中国人研究者から技術流出、先端兵器に？日本も「千人計画」警戒強化：朝日新聞デジタル

　日本や欧米の政府が、軍事に転用される可能性が高い機微技術の流出への対策を強化している。念頭にあるのは、「軍民融合」を掲げて先端技術の軍事転用を進める中国だ。各国は大学や研究機関での規制強化にも乗り出…

https://www.asahi.com

• Windows 10/11でリンクを踏むときは注意 ～URIハンドラーの不備にセキュリティ会社が警鐘 - 窓の杜

Windows 10/11でリンクを踏むときは注意 ～URIハンドラーの不備にセキュリティ会社が警鐘／「ms-officecmd://」URIでドライブバイコード実行が可能

　ドイツのセキュリティ企業Positive Securityは12月7日（現地時間）、Windows 10/11でドライブバイコード実行（drive-by code execution）の脆弱性（CVE番号は未割り当て）を明らかにした。Microsoftのセキュリティ部門（MSRC）が脆弱性を正当に評価せず、バグ報酬プログラムで支払われた報奨金が少なかったことが不服で公表に踏み切ったようだ。

https://forest.watch.impress.co.jp

• AWS、12月7日の大規模障害について説明 ステータスページの改善を約束 - ITmedia NEWS

AWS、12月7日の大規模障害について説明　ステータスページの改善を約束

AWSで12月7日に発生した大規模障害について、同社が説明した。顧客が状況を把握しやすくするため、来年初頭にもステータスページを改善する計画。この障害ではDisney+や日本の任天堂などの他、Amazonの配送も影響を受けた。

https://www.itmedia.co.jp

• Android Bazaar and Conference Diverse 2021 Winter - Speaker Deck

Android Bazaar and Conference Diverse 2021 Winter

11/12/2021に開催された Android Bazaar and Conference Diverse 2021 Winter で発表した 「COCOA 1.4.0 障害はなぜ起きたのか」の発表資料です。 https://japan-android-group.connpass.com/event/228215/ https://abc.android-group.jp/abcd2021w/ リンクが有効なPDFは、プレゼンテーション下のボタンからダウンロードできます。 アーカイブPDF: https://blog.keiji.dev/archives/abcd2021-winter.pdf 本資料の内容は、 技術情報の提供を通じた技術的なコミュニケーションを目的としており、 発表者の所属または関与する組織の公式見解、方針等を述べるものではありません。

https://speakerdeck.com

• バグを検出、修正するAIを「かくれんぼ」の手法で訓練--マイクロソフトが研究 - ZDNet Japan

バグを検出、修正するAIを「かくれんぼ」の手法で訓練--マイクロソフトが研究

マイクロソフトの研究者が、バグを発見する深層学習モデルをトレーニングする新たな手法を研究している。この手法では、バグを「隠す」モデルとバグを「見つける」モデルの2つを組み合わせることで学習を行う。

https://japan.zdnet.com

• なぜエンジニアが作る画面はダサいのか…?「理由」と「対策」を徹底解説【エンジニア向け画面デザイン講座】 - Qiita

なぜエンジニアが作る画面はダサいのか…?「理由」と「対策」を徹底解説【エンジニア向け画面デザイン講座】 - Qiita

1.はじめに エンジニアの私がデザインを本気で勉強した結果、デザイナーとエンジニアはそもそも思考が大きく違っているということがわかりました。 今回は「それ」をデザインに苦手意識のあるエンジニア方にも理解してもらえたらと思い、わかりや...

https://qiita.com

• ことしの漢字は「金」 京都 清水寺で発表 | 東京オリンピック・パラリンピック | NHKニュース

エラー｜NHK NEWS WEB

https://www3.nhk.or.jp

• 3.11のあの日、パニックになった都内を走らせたタクシー運転手の苦悩 | いつも鏡を見てる | よみタイ

3.11のあの日、パニックになった都内を走らせたタクシー運転手の苦悩

いつも鏡を見てる　第18話あの日　2011年3月11日　客の態度が怪しくなるのは、気の早い酔っぱらいが現れる午…

https://yomitai.jp

• アイスホッケー練習中の1歳男の子、ゴールをつかんだ次の瞬間！ ナナメ上な方法でゴールを決める姿がワイルド - ねとらぼ

アイスホッケー練習中の1歳男の子、ゴールをつかんだ次の瞬間！　ナナメ上な方法でゴールを決める姿がワイルド

その手があったか……！

https://nlab.itmedia.co.jp

• 必死すぎる猫、段ボールに強引にねじこみ…… ジタバタする姿に「あんよとおしり可愛すぎ」「そんなに入りたい？ｗ」 - ねとらぼ

必死すぎる猫、段ボールに強引にねじこみ……　ジタバタする姿に「あんよとおしり可愛すぎ」「そんなに入りたい？ｗ」

そこに箱があるから。

https://nlab.itmedia.co.jp

• 大好きな女の子と超本気のじゃれ合いバトルを始める猫さん。次々と猫アタックを繰り出す様子が可愛すぎる ( *´艸｀)♡ | エウレカ！

大好きな女の子と超本気のじゃれ合いバトルを始める猫さん。次々と猫アタックを繰り出す様子が可愛すぎる ( *´艸｀)♡

ある日、大好きな女の子と一緒に遊び始めたスコティッシュフォールドの『こっちゃん』。どうやら本気モードに突入したようで、いつの間にか激しいじゃれ合いバトルが始まりました！ 出典：ふわふわこっちゃんねる

https://eureka.tokyo

• 「可愛すぎ」「これなかなか撮れない」 子ウサギが前足をシュッと収納する瞬間をとらえた映像に癒やされる人続出 - ねとらぼ

「可愛すぎ」「これなかなか撮れない」　子ウサギが前足をシュッと収納する瞬間をとらえた映像に癒やされる人続出

全身がかわいい。

https://nlab.itmedia.co.jp