Twitter APIの仕様変更のため、「いいね」の新規取得を終了いたしました

NI-Lab.

@nilab

  • いいね数 135,946/216,086
  • フォロー 2,359 フォロワー 3,955 ツイート 501,404
  • 現在地 名古屋
  • Web http://www.nilab.info/nilog/
  • 自己紹介 (「=・ω・=)「ガオー 名古屋のゆるふわホワイトタイガー。記録するのが趣味です。ゆるふわITエンジニア。 / マストドンに移行中 → https://mastodon-japan.net/@nilab / nilabの半分はbotでできています。ごろごろ寝てるのしあわせ(*=´ω`=*)
Favolog ホーム » @nilab » 2021年12月10日
並び順 : 新→古 | 古→新

2021年12月10日(金)

You and U @You_and_UU

21年12月10日

ヤバい…
対象に当てはまっとる…
明日管理会社に連絡しよう… twitter.com/nilab/status/1...

タグ:

posted at 00:40:42

コーナン @konantower

21年12月10日

@niettyan @JPX_Blossoms 減税はしない。減税して喜ぶのは大企業と投資家だが、彼らを優遇しても役に立たないことに気がついたので。

消費税は社会保障財源だから上げざるを得ない。その代わり、低所得者へは給付拡充。

そんなキッシー世界観。

タグ:

posted at 09:02:16

SaziumR @SaziumR

21年12月10日

【重要】バニラ、Spigot、Paperなど全Minecraftサーバーでログインに関するライブラリ「log4j2」に任意のリモートコードを実行される重大な脆弱性が発見されました。既に攻撃が始まっているとのことですので、管理者は今すぐサーバーを止め、最新バージョンにしてください。

www.spigotmc.org/threads/securi...

タグ:

posted at 09:27:42

りんたろー@投資11年目 @iwcwqWp2z29imkn

21年12月10日

@konantower 日本は一番成功した社会主義とはよく言ったものだなあ。

タグ:

posted at 09:43:00

非公開

タグ:

posted at xx:xx:xx

非公開

タグ:

posted at xx:xx:xx

r3n @as200226

21年12月10日

-Dlog4j2.formatMsgNoLookups=true 入れても1.16以上のサーバーにしか意味ないです。1.15以下のサーバーでは↓のプラグインとか活用しましょう

Spigot
github.com/notrhys/Log-4J...

Bungee
cdn.discordapp.com/attachments/83...

タグ:

posted at 10:39:29

takatronix @takatronix

21年12月10日

マイクラ界を震撼させてるlog4jの脆弱性の問題だけど
うちのサーバでも確認&修正してるけどたしかにこれはやばいね。
それどころか、修正してないクライアントで悪意のあるサーバで遊ぶとクライアントが乗っ取られる可能性あります。
log4jって、いろんなアプリにも使われてるよな。。

タグ:

posted at 10:43:49

wrongwrong @wrongwrong16337

21年12月10日

Log4jの脆弱性の話、現在進行形で影響範囲が広がってるっぽいので注視が必要そう
元々Log4j2だけの話だったのが1にも影響するんじゃないかって話になってる、、、
github.com/apache/logging...

タグ:

posted at 10:51:31

岡田哲哉 @t_okada

21年12月10日

log4j の脆弱性、ユーザー入力や外部などから与えられた文字列をロギングするすべてのアプリケーションに影響しそうな気がするな。これは大変なことになりそう。
影響するのは log4j 2.0 以降だからアルファ版、ベータ版を除いてもリリースから7年くらい放置されてた?
logging.apache.org/log4j/2.x/chan...

タグ:

posted at 10:55:33

takatronix @takatronix

21年12月10日

現在ハッキング可能性検証してるけど、ワロタww

チャットだけ対策してもだめで、
武器の名前に、悪意のあるコードを入れる->殺される->死亡ログ->log4j -> 実行 pic.twitter.com/y3o8hN5tVc

タグ:

posted at 10:58:16

SaziumR @SaziumR

21年12月10日

Spigot、Paper、Fabric Loaderをご利用の方は最新バージョンに更新してください。
バニラサーバーをご利用の方は弥縫策としてJavaのサーバーの起動オプションに「-Dlog4j2.formatMsgNoLookups=true」を追加してください。
必ず最新バージョンを随時確認してください。

twitter.com/minecraftathom...

タグ:

posted at 11:00:48

SaziumR @SaziumR

21年12月10日

訂正:「log4j2」はログインではなく、ロギングのためのライブラリです。いずれにせよ対策を早急に行ってください。

タグ:

posted at 11:14:14

岡田哲哉 @t_okada

21年12月10日

Log4j、そもそも機能がリッチすぎてヤバい雰囲気してたんだよな。なんでロガーごときにLDAP叩く機能が要るんだ感。いやもちろん欲しいケースはあるだろうけど、そんなもんデフォルトではオフにしておけよっていうか。

タグ:

posted at 11:20:01

MURAOKA Taro @kaoriya

21年12月10日

log4jの脆弱性、もしかしてHTTPのUAやパスをそのままログに出してるサーバーがあったら、そこで攻撃成立するんかしら?

タグ:

posted at 11:32:24

VM持田 @mike_neck

21年12月10日

世の中には log4j と log4j2 の違い、 Java8 と Java17 の違い、 python2 と python3 の違いなどに無頓着な人もいるんですよ

タグ:

posted at 11:42:17

irof @irof

21年12月10日

2.15出てるしあげればいいか(1枚目)、ねーじゃん(2枚目)、やっぱまだRCかー(3枚目)・・・あるじゃん?(4枚目) pic.twitter.com/aRjGcOtfSb

タグ:

posted at 11:56:59

shao as a service @shao1555

21年12月10日

前澤さん、いつもの “Twitter for iPhone” ではなく “Twitter Web App”になってる。安全のためにISSにリチウム電池は持ち込めないので iPhone はダメだったんだろうな。後ろに見えるThinkPadもリチウム電池を排した特別仕様です。 twitter.com/yousuck2020/st...

タグ:

posted at 12:01:26

irof @irof

21年12月10日

9時ごろみたときはCentral(repo1)にもなかったんだけどな。
デプロイが今日のAM3:00で、それが反映されたのが9:00-12:00のどっか。mvnrepository-comに反映されるのはもう少し後ね。

この辺Centralあげたことあれば「あーね」ってなるんだけど、なかったらよくわからないだろうね・・・

タグ:

posted at 12:03:09

空えぐみꔘ @egumisky

21年12月10日

沖縄で「ゴーヤ」とは絶対言ってはいけません。 pic.twitter.com/42ynRh62eL

タグ:

posted at 12:06:02

irof @irof

21年12月10日

spring-boot-dependencies使ってるので、log4j2.versionを2.15.0にしてあちこちのCIぶん回してる。

タグ:

posted at 12:11:17

非公開

タグ:

posted at xx:xx:xx

AOE Takashi @aoetk

21年12月10日

これかなりやばいな。ログにかます文字列にLDAPのアドレスに対してJNDIルックアップを要求する式を入れると成立しちゃうのか。Webアプリとかで外部から送信した文字列をログ出力する箇所があったらアウト? www.lunasec.io/docs/blog/log4...

タグ:

posted at 12:41:24

SaziumR @SaziumR

21年12月10日

サーバーが対策を行ったことを確認確認できない場合は絶対にどんなサーバーも参加しないでください。バージョン1.8〜1.18まで該当します。また、少なくとも1.12.2では「formatMsgNoLookups」フラグでは治らないことが確認されたとのことです。

twitter.com/realsalc1/stat...

タグ:

posted at 12:44:35

ぬるぽへ @nullpo_head

21年12月10日

log4jの脆弱性やばすぎる、災害レベルなのではこれ

タグ:

posted at 12:48:30

Rui Ueyama @rui314

21年12月10日

log4jのセキュリティバグ、すごいな。任意コード実行というけど、ほんとに任意コード実行じゃん(インターネットから簡単に任意のJavaクラスファイルをロードして実行させられる)。

タグ:

posted at 13:03:12

Rui Ueyama @rui314

21年12月10日

これの悪用でまっさきに思ったのは、Javaベースの暗号ウォレットアプリでlog4jを使っているものがあったら、このバグさえトリガできれば全員から全額ぶっこ抜けちゃうだろうなってことかな。そういうウォレットがあるのか知らないけど。

タグ:

posted at 13:05:34

mattn @mattn_jp

21年12月10日

あの話は log4j2 の話だから、と TL で言ってる人がくらかいるけど、フォロワさん情報によると 1 も可能性あるって流れになってるらしいので「log4j やばい」でいいと思う。

タグ:

posted at 13:07:18

非公開

タグ:

posted at xx:xx:xx

slicedlime @slicedlime

21年12月10日

We've now released a third release candidate for Minecraft 1.18.1 to fix a critical security issue: www.minecraft.net/article/minecr...

タグ:

posted at 13:12:46

SaziumR @SaziumR

21年12月10日

公式Minecraftより、修正バージョンがリリースされました。サーバーがまだ動いている方は今すぐ停止させ、最新バージョンのクライアントとサーバーを使用するようにしてください。

twitter.com/slicedlime/sta...

タグ:

posted at 13:14:39

SaziumR @SaziumR

21年12月10日

最新バージョン以外でも、Minecraftを再起動すれば修正バージョンがインストールされるようになっているようです。
しかし、バージョン1.12以降のようですので、バージョン1.8〜1.12をご利用の方は今すぐに利用を停止することが推奨されています。

twitter.com/slicedlime/sta...

タグ:

posted at 13:16:58

結城浩 / Hiroshi Yuki @hyuki

21年12月10日

Javaで広く使われているログ生成ライブラリlog4jにRCE(Remote Code Execution)を極めて容易に引き起こす脆弱性が発見されたという話題

 * * *

RCE 0-day exploit found in log4j, a popular Java logging package | LunaSec
www.lunasec.io/docs/blog/log4...

タグ:

posted at 13:19:53

mattn @mattn_jp

21年12月10日

log4j が動いているサーバに脆弱性を利用して侵入し、勝手にパッチを当てていってくれる正義のヒーローが待たれる。(嫌)

タグ:

posted at 13:20:34

加藤公一, 가토우 기미카즈(はむかず) @hamukazu

21年12月10日

log4j関連のマイクラの脆弱性の話、今うちのオタクに大丈夫?って聞いたら、とっくに知っててサーバ・クライアントともに対応済みと聞いた(オタクは国内有名サーバの運営メンバー)。さすがオタクは強い。

タグ:

posted at 13:24:52

SaziumR @SaziumR

21年12月10日

【Minecraft・重要・拡散希望】
Minecraft 1.8〜1.18をご利用の方全員にお知らせ致します。
Minecraftに大変重大な脆弱性が発見されました。攻撃は始まっています。今のところ、どんなサーバーも参加しないでください。サーバーは停止させてください。必ず安全を確認してから復帰してください。 twitter.com/saziumr/status...

タグ:

posted at 13:25:07

Takuo Kihira @tkihira

21年12月10日

今回の log4j の脆弱性が大惨事である理由としては、Java でサーバサイド作っていれば直接でなくても依存で使っていることがほとんどで、関係ないと思っていても大体関係していることなんですよね。そして対策するのが相当大変なので放置する会社が多そうなので、暗黒期突入まで可能性あります。

タグ:

posted at 13:25:56

SaziumR @SaziumR

21年12月10日

使用バージョンは関係なく、ランチャーを再起動すれば、修正バージョンが自動的にインストールされるようになっています。ランチャーとゲームを両方再起動するように行ってください。

twitter.com/slicedlime/sta...

タグ:

posted at 13:28:32

福ちゃん @m_fukuchan

21年12月10日

マイクラだけの問題みたいな言われ方してるけど、依存ライブラリを入れてどうこうしてる系のJavaプログラムは大概依存先でlog4j使ってるよね。パッチがすぐ当たるにしてもきっと世界中のエンジニアがこれからの対応をまとめる事務仕事に追われるんだ…

タグ:

posted at 13:33:45

mattn @mattn_jp

21年12月10日

log4j の件、ユーザ企業は対応が早いからいいけど SI 業の方は結構ヤバくて IT ゼネコンはそもそもアンテナ張ってないし開発側の誰かが周知して初めて動く状態だし開発リソースは既に解散済みだし場合によっては開発会社消えてたりするし、人集めるのに数日から数週間、みたいな事が普通に起きる。

タグ:

posted at 13:37:24

irof @irof

21年12月10日

SpringBootはlog4j-apiとlog4j-to-slf4jを使ってる。spring-boot-starter-log4j2使ってるなら間違いなく対応が必要で、log4j2.versionプロパティ(mavenでparentにしてるなら)か、log4j-bomを2.15.0でマネジメントするのがよかろう。

タグ:

posted at 13:46:26

SaziumR @SaziumR

21年12月10日

サーバーの管理者は前述のJVMオプションの「-Dlog4j2.formatMsgNoLookups=true」フラグで弥縫策になることが開発者より確認されました。バージョン1.18.1まではこちらでしのいでください。
twitter.com/slicedlime/sta...

タグ:

posted at 13:47:04

ころちゃん @corocn

21年12月10日

log4jで土日消えた皆様

タグ:

posted at 13:55:53

irof @irof

21年12月10日

twitter.com/irof/status/14...
SpringBootでMaven(parentで使ってるよね?)、GradleでSpringBootのdependencyManagementプラグイン使ってる(initializrだとこうなる)ならlog4j2.versionでの指定。
Gradleでプラグイン使ってないならlog4j-bomを明示、気になるならspring-boot-dependenciesから除外。

タグ:

posted at 14:00:02

Takuo Kihira @tkihira

21年12月10日

@a_bicky log4j が外部リクエストを投げてクラスを取ってくるのは JNDI 経由です。これが諸悪の根源 www.blackhat.com/docs/us-16/mat...

タグ:

posted at 14:27:10

しんどう りょう @shindo_ryo

21年12月10日

log4j 2.0.0~2.14.1ってよく今まで見つからなかったよなーという気もする。

タグ:

posted at 14:37:28

irof @irof

21年12月10日

使ってるかどうかとかとかよくわからないなら「MavenならdependencyManagement、Gradleならplatformでlog4j-bom入れる。使ってなかったら影響ないし、使ってたらバージョン上がる。」になる。

ぶっちゃけ「それをリリースできるか」が問題じゃないかな。(リリース終わった顔をしながら)

タグ:

posted at 14:38:10

せとあず @setoazusa

21年12月10日

log4j2の脆弱性のやつ、GitHubで対応を議論しているのがリークされてゼロデイになったぽいが、ASFはJira使っているのだから課題セキュリティスキーム使って公開までクローズにしておくとかしてほしかった

タグ:

posted at 14:45:32

ウギャーさん(@オフィスぴの吉) @uger_san

21年12月10日

というわけで国立図書館に来ました。ワイのような異国の者にも利用さしてくれるの、ありがたいっす pic.twitter.com/FaMoJxEsVO

タグ:

posted at 15:23:56

RAO(らお) @RIORAO

21年12月10日

log4jの脆弱性、自分が立てているMinecraftサーバで任意コードが実行できてしまったのでApache Struts2とかApache Solr使っているプロダクトとかやばそうですね

タグ:

posted at 15:26:01

情報弱者であると同時に、情感弱者 @joukan_jakusha

21年12月10日

往時と比べたらSLF4J+LogBackを使う割合が増えていたはずと思いきやLog4jも2.0リリースして機能的には追いついたと思ったら2.0からだいぶひどい脆弱性が盛り込まれていたらしい。まさかの積極メンテされなくなってるSLF4J勝利。

タグ:

posted at 17:37:18

irof @irof

21年12月10日

Log4J2のバージョンアップのやりかた - 日々常々 irof.hateblo.jp/entry/2021/12/...

タグ:

posted at 18:02:29

moznion @moznion

21年12月10日

log4j問題、サーバーサイドはまだマシなほうで普通に対応できるけど、Java Client Appが一番マズいと思っている。Client Appがlog4j2使ってて、かつ外部からの入力を信用してログっている場合、そこが攻撃サーフェスになってマルウェアとかが入り込むわけで……

タグ:

posted at 18:11:18

大村秀章 @ohmura_hideaki

21年12月10日

12月10日(金)の愛知県の新規陽性者数は11人。

県管轄9人,名古屋市2人,豊橋市0人,岡崎市0人,一宮市0人,豊田市0人。

警戒領域

感染再拡大防止に向け

飲食店等における手指消毒、マスク着用等の徹底

ガイドラインの遵守

感染防止対策の徹底を!

タグ:

posted at 18:31:08

波動方程式 @kzt522

21年12月10日

@krkfin123 昼間仕事してないだけとか…

タグ:

posted at 18:50:47

fujiwara @fujiwara

21年12月10日

log4jのzero day、発端のPRを見た感じそもそも脆弱性というよりvalidationちゃんとしたよってPRで、それをよく見るとあれこれ元の実装やばくね…?ってなってしまった(のが隠されてなかった)という理解

タグ:

posted at 18:58:02

高梨陣平 @jingbay

21年12月10日

とりあえず公式にもう修正が出ていますね。

logging.apache.org/log4j/2.x/

log4j Log4j 2.15.0 に今直ぐ更新しましょう。

また回避手段も書かれています。

log4j 2.10以上のユーザは-Dlog4j.formatMsgNoLookups=true を指定するか log4j.formatMsgNoLookups=trueをlog4j2.component.propertiesに追加

タグ:

posted at 18:58:05

高梨陣平 @jingbay

21年12月10日

log4j 2.7以上のユーザは%m{nolookups} をPatternLayout configurationに指定すること

強力な手段としてJndiLookupとJndiManagerの2つのclassをlog4j-core jarから消すというのもあります。(これ実行時エラーで落ちない?)

タグ:

posted at 18:59:56

joker1007 (アルフォートおじさ @joker1007

21年12月10日

log4jのゼロデイ脆弱性、何故ゼロデイになったんやと思ってたら、別のPRから事故的に見つかってしまったので、隠し様が無かったのか。

タグ:

posted at 19:01:55

高梨陣平 @jingbay

21年12月10日

log4j 2.15.0には制約が強化されているので自身のシステムで適用できるか、事前に良く確認して下さいね。

Log4j now limits the protocols by default to only java, ldap, and ldaps and limits the ldap protocols to only accessing Java primitive objects by default served on the local host.

タグ:

posted at 19:04:43

ウギャーさん(@オフィスぴの吉) @uger_san

21年12月10日

行ってきました。どえらいお願いをされてしまい、ワイはひとまず府中の森のえらい先生に話をしなければ pic.twitter.com/LIRBRmhcz5

タグ:

posted at 19:12:43

あらら @momni_now

21年12月10日

@sodagahara @kzt522 グロンサン?

タグ:

posted at 19:22:17

しんどう りょう @shindo_ryo

21年12月10日

誰か「奴はJavaロギングライブラリの中でも最弱…」やってください

タグ:

posted at 19:46:57

ウギャーさん(@オフィスぴの吉) @uger_san

21年12月10日

日本語教師みたいな仕事をしているよ

タグ:

posted at 19:53:01

ウギャーさん(@オフィスぴの吉) @uger_san

21年12月10日

(日本語教師でしたわそういや)

タグ:

posted at 19:53:29

ウギャーさん(@オフィスぴの吉) @uger_san

21年12月10日

は〜。濃い1日だ。これから日本語会話クラブに行きますし、夜はアゼルバイジャン語のお稽古あるし

タグ:

posted at 19:54:23

うらがみ⛄ @backpaper0

21年12月10日

Logback「Log4Jがやられたようだな……」
Commons Logging「奴はJavaロギング四天王の中でも最弱……」
java.util.logging「JNDIごときに負けるとは」
JBoss Logging「四天王の」
java.lang.System.Logger「面汚しよ」
SLF4J「(……ロギングライブラリ多くない?)」 twitter.com/shindo_ryo/sta...

タグ:

posted at 20:21:07

国際信州学院大学 @kokushin_univ

21年12月10日

【学内システム休止のお知らせ】
今週末の間、国信ポータル等、学内システムを休止します。
措置:本日期限のオンライン提出のレポート等の提出期限は来週まで延長します。
事由:Log4j脆弱性の影響範囲確認のため
※公式HPや出願システムなど学外向けのシステムには影響ありません。

タグ:

posted at 21:00:09

こてつ(ONO,Tetsuo) @g_plains

21年12月10日

log4j使ってるプロダクトがだいたいやべえ脆弱性、とんでもねえクリスマスプレゼントだなオイ...Σ('A';)
(でも年末進行の都合、みんな今までどおり塩漬けしちゃうんでしょ)

タグ:

posted at 21:33:40

ふるた @siamcats

21年12月10日

log4j、logback、slf4j、何もかも皆懐かしい...

タグ:

posted at 21:39:27

Yosuke HASEGAWA @hasegawayosuke

21年12月10日

log4j の脆弱性、自分の周りみてるとみんな調べる方向が違ってて面白い。jarやwarを紐解いて影響範囲を調べる方法を整理してる人とか、ldap以外でもどう攻撃可能かを調べる人とか、受動的攻撃つかってイントラへの攻撃を考える人とか。

タグ:

posted at 21:49:31

こてつ(ONO,Tetsuo) @g_plains

21年12月10日

@you_and_i ストラッツOPAC祭りの時(あれーGW中に借りるつもりだったのにOPAC閉まってる)みたいに、「あれー年末年始読むつもりだったのにOPAC閉まってる」が起きそうで怖いっすね...(図書館のOPACだいたいJavaアプリだったはづ)

タグ:

posted at 22:01:55

xArasix @xArasix

21年12月10日

俺の布団の上で足蹴にしやがる。 pic.twitter.com/LPlBWgC097

タグ:

posted at 22:12:55

武田 紘樹 @tomatoha831

21年12月10日

精神科の先生に「熱中できることはありますか?」と聞かれたから「物理ぐらいですね」と答えたら「では不安な気持ちになったら物理の研究をして下さい」と言われたので、1日3回食後に物理学を服用してる。

タグ:

posted at 22:24:05

江添亮@足首靭帯の手術から14週間 @EzoeRyou

21年12月10日

ここまで便利すぎる脆弱性は生きているうちで初めてかもしれない。やれSpectreだのMeltdownだのshellshockだのRawhammerだの仰々しい名前がついている過去の脆弱性は、ここまで便利ではなかった。 twitter.com/EzoeRyou/statu...

タグ:

posted at 23:12:34

かっつぁん @aqoursgasuki

21年12月10日

@gokutubusi354 @usaminoriya 週6日勤務で祝日なし月4日休み
朝は現場が8時スタートなので家は朝6時には出掛けないと行けない
残業代はつかない
17時までに作業終わらせて事務所帰って終了
現場管理の方はここからさらに仕事で23時までとかざらにあるので建築業界はどこもブラックですよね

タグ:

posted at 23:52:43

@nilabホーム
スポンサーリンク
▲ページの先頭に戻る
ツイート  タグ  ユーザー

User

» More...

Tag

» More...

Recent

Archive

» More...

タグの編集

NintendoSwitch BreathoftheWild FOSS4GJ ゼルダの伝説 漫画 ちいかわ nhk gms2010 4sqjp FOSS4G

※タグはスペースで区切ってください

送信中

送信に失敗しました

タグを編集しました