如何缓解Log4j版本1.2中的Log4Shell漏洞?[副本]
我有一个非常旧的Solr版本,我一直在试图看看它是否受到每个人都很害怕的Log4Shell漏洞的影响(CVE-2021-44228)。
CVE似乎只适用于更高版本,但一位同事不买账,所以我试图找出真相。
共有2个答案
Ralph Goers(Apache Log4J维护人员)说:
此漏洞有两个方面。
- 正在对正在记录的消息文本执行Log4j 2的查找机制(属性解析器)。这意味着,如果应用程序正在记录用户输入(几乎每个人都这样做),则用户可能会导致调用查找机制
- log4j2在不同的地方支持JNDI,包括作为查找。JNDI本身非常不安全。这些因素的综合作用使其成为Log4j 2的严重性问题。Log4j 1和Logback都有使用JNDI的组件,并且都没有采取任何措施来限制JNDI漏洞。对于log4j1,它是JMS追加器。曝光量较小,但仍然存在。如果有人可以访问日志配置,他们可能会导致不好的事情发生
我大约95%确定这对于Log4j的旧版本是好的。原因有三:
>
find / -iname '*log4j*'
unzip /etc/opt/jetty/lib/ext/log4j-1.2.17.jar | grep -i jndi
那没有带来什么,所以我在那里感觉很好。CVE说,您通常会通过查看JAR文件找到一些东西。它建议你:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
那对我没用。
我翻阅了Log4j的变更日志。版本2.0-beta9的说明如下:
添加JNDILookup插件。修复LOG4J2-313。多亏了吴桑高。
所以我认为可以肯定地说,在那之前,Log4j中不存在JNDI。添加它的Jira票在这里。
我检查了1.2版的旧手册,并将其与最新版本进行了比较。在最近的一篇文章中,有一个“查找”部分解释了JNDI是如何工作的。在1.2版中,该部分根本不存在。
我觉得...还好吧?
-
我使用的是log4j1.2。16.我将其用于maven selenium testng java项目。我正在寻找一个不升级log4j版本的解决方案。
-
如何检测SonarQube LTS 8.2版本中的log4j漏洞。 我尝试了这个社区参考,但是找不到8.2版本的。 https://community.sonarsource.com/t/sonarqube-sonarcloud-and-the-log4j-vulnerability/54721
-
WSO2IS 5.8包括Log4j 1.2。17 已针对Log4j 1识别出一个安全漏洞CVE-2019-17571。Log4j包括一个SocketServer,它接受序列化的日志事件并反序列化它们,而不验证是否允许对象。这可以提供可以被导出的攻击向量。 有人知道是否可以在WSO2IS 5.8的上下文中利用此漏洞? 提前谢谢!
-
如何确认elasticsearch版本是否暴露log4j漏洞?我的elasticsearch版本是6.8.4
-
我们正在运行WSO2 1.8.0 API Manager(我知道它很旧:-))我想检查最新的log4j漏洞是否有任何补丁/修复程序可用于我们正在运行的WSO2 API Manager版本。我没有在WSO2安全建议列表中找到任何更新https://docs.wso2.com/display/Security/2021建议 Log4j安全问题-https://logging.apache.org/lo
-
是否存在一种“内部安全应用程序”场景,其中由于早期的Log4J版本,软件比没有它时更容易受到攻击? 我在下面概述了这个问题的一些细节。 我正在做一些工作来减轻最近Log4J漏洞的风险。我知道有一些方法涉及从组织的所有计算机、服务器、远程桌面等中删除早期Log4J jar文件的所有痕迹,在完成之前,组织被视为“处于危险之中”。然而,我也想知道如此大规模的全面努力支出是否相称[编辑22-12月21日1