問題の源流をどこに求めるかも大事だが
この件の最大のミスは、大半の人間が必要としていないどうでもいい(しかも過剰にパワフルな)機能をデフォルトで有効にしてリリースしていたことで、それは言語とは独立していると思う
第一引数にlookupを含む文字列が入るとフォーマットプロセスが操作される可能性があることを理解していないユーザーも問題だが、それでもLDAP経由でclassをダウンロードしてRCEできるとならなけりゃここまで問題にはならなかったのだから、ユーザー側の責任はlog4j側に比してだいぶ小さい
Permalink |記事への反応(0) | 11:30
ツイートシェア
log4j自体が問題なのは当然だけど、 ブコメに分散オブジェクト指向と書いてる人がいたけど、 その辺の指摘が正しいのではないかと思うんだけど そもそもはJavaで分散オブジェクト指...
問題の源流をどこに求めるかも大事だが この件の最大のミスは、大半の人間が必要としていないどうでもいい(しかも過剰にパワフルな)機能をデフォルトで有効にしてリリースしてい...
LOG4Jの開発者は、便利機能として作ったってこと?
27