เห็นได้ชัดว่าฉันกังวลเกี่ยวกับช่องโหว่นี้ แต่ฉันสงสัยว่าฉันมีไลบรารี่นี้อยู่ในเครื่องของฉันด้วยหรือเปล่า
เครื่องนี้เป็นเว็บเซิร์ฟเวอร์ที่ทำงานสองสามเครื่อง โหนด expressjs กรอบมากกว่า จิงซ์บวก ก เซิร์ฟเวอร์ธรณี
ฉันซ่อมเครื่องวันนี้กับ อัปเดต sudo apt && อัปเกรด sudo apt: เครื่องมืออูบุนตูได้เปรียบ, opensl และ libssl1.1 ถูกอัพเกรด
เวอร์ชันจาวาของฉันคือ:
openjdk เวอร์ชัน "1.8.0_292" OpenJDK Runtime Environment (build 1.8.0_292-8u292-b10-0ubuntu1~18.04-b10) OpenJDK 64-Bit Server VM (build 25.292-b10, โหมดผสม)
เดอะ เซิร์ฟเวอร์ธรณี เป็น v2.13.0 ซึ่งฉันเชื่อว่าเป็นโปรแกรมเดียวที่อาจใช้ log4j geoserver ของฉันเป็นเวอร์ชันไบนารีอิสระของแพลตฟอร์ม (ไม่ใช่เวอร์ชัน Tomcat) ซึ่งใช้ ท่าเทียบเรือ ฉันคิดว่าเป็นเว็บเซิร์ฟเวอร์
ฉันจะทราบได้อย่างไรว่าฉันมี log4j เวอร์ชันใดและเวอร์ชันใด
คุณสามารถตรวจสอบว่ามีการติดตั้งใน apt หรือไม่:
รายการ apt --installed | grep -i log4j
แต่คุณยังต้องตรวจสอบสิ่งนี้เพื่อค้นหาไฟล์ที่เป็นไปได้ที่อาจทำงานอยู่ที่ใดที่หนึ่ง:
ค้นหา log4j
นอกจากนี้ เป็นการดีที่จะตรวจสอบว่าคุณรันจาวารันไทม์บนเซิร์ฟเวอร์หรือไม่:
จาวา - เวอร์ชัน
หากคุณไม่ได้เรียกใช้จาวารันไทม์ log4j อาจไม่เกี่ยวข้องกับเซิร์ฟเวอร์นี้เนื่องจากเป็นไลบรารีจาวา
อาจมีที่อื่นให้ตรวจสอบ
อย่าลืมตรวจสอบข้อมูลล่าสุดจากแหล่งข้อมูลด้านล่างเสมอ
CVE-2021-45105... 2.16.0 และ 2.12.2 ไม่ใช่การแก้ไขที่ถูกต้องอีกต่อไป! เวอร์ชันแก้ไขปัจจุบันคือ 2.17.0 (Java 8) และ 2.12.3 (Java 7) Java เวอร์ชันอื่นๆ ทั้งหมดต้องใช้วิธีหยุดช่องว่าง (การลบ/การลบไฟล์ JndiLookup.class จาก log4j-core JAR
ฉันได้อัปเดตข้อความของฉันด้านล่างตามนั้น
ตอบคำถามโดยตรง:
ไปที่ หัวข้อ Reddit: log4j_0day_ being_exploited
และ Ctrl+ฉ สำหรับ .class และ .jar นักล่าแบบเรียกซ้ำ. เรียกใช้โปรแกรมที่นั่นและหากพบสิ่งใดให้ทำการแก้ไข
จากนั้นไปที่เว็บไซต์เดียวกันและ Ctrl+ฉ สำหรับ คำแนะนำผู้ขาย. ค้นหารายการเหล่านั้นเพื่อดูว่าคุณกำลังใช้งานซอฟต์แวร์ที่ได้รับผลกระทบอยู่หรือไม่ หากคุณเป็นและมีการอัปเดต ให้อัปเดต
การแก้ไข:
CVE-2021-45046 ... CVE-2021-44228 ... CVE-2021-45105
ในขณะที่คนส่วนใหญ่ที่จำเป็นต้องรู้อาจรู้ดีพอที่จะทำในสิ่งที่ต้องทำแล้ว แต่ฉันคิดว่าฉันจะใส่สิ่งนี้เผื่อไว้เผื่อ...
มันเป็นพื้น
ซิป คำสั่งที่มาพร้อมกับ Linux distros ส่วนใหญ่ตามค่าเริ่มต้น
zip -q -d "$LOG4J_JAR_PATH" org/apache/logging/log4j/core/lookup/JndiLookup.class.zip.zip การขยาย)\path\to\unzippedFolder\org\apache\logging\log4j\core\lookup\JndiLookup.class.ไหวิธีนี้ใช้ได้ถ้าคุณมีไฟล์ JAR เพียง 1 หรือ 2 ไฟล์ที่ต้องจัดการ และคุณไม่ต้องสนใจที่จะติดตั้ง 7-zip หรือคุณมี PowerShell ที่พร้อมใช้งาน อย่างไรก็ตาม หากคุณมีไฟล์ JAR จำนวนมาก หรือหากคุณไม่ต้องการติดตั้ง 7-zip และไม่มีสิทธิ์เข้าถึง Power Shell ฉันได้สร้างสคริปต์ VBS แบบโอเพ่นซอร์สที่จะติดตั้งให้คุณโดยไม่จำเป็นต้องติดตั้ง ซอฟต์แวร์เพิ่มเติมใดๆ https://github.com/CrazyKidJack/Windowslog4jClassRemover
อ่าน README และ Release Notes https://github.com/CrazyKidJack/Windowslog4jClassRemover/releases/latest
โปรดทราบว่ามีเพียง log4j v2 เท่านั้นที่มีช่องโหว่นี้ log4j v1 ที่เก่ากว่าไม่ได้รับผลกระทบจากช่องโหว่นี้
ข้อสำคัญ คุณจะไม่พบมันในรายการ apt ของคุณ (ตามที่อธิบายไว้ในคำตอบที่ยอมรับ) เนื่องจากโดยปกติแล้วจะไม่ได้รับการติดตั้งเป็นแอปพลิเคชันหรือบริการแบบสแตนด์อโลน log4j เป็นไลบรารีการบันทึก Java ที่ใช้โดยแอปพลิเคชัน ดังนั้นจึงจะติดตั้งพร้อมกับแอปพลิเคชันอื่น (Java)
คุณจะต้องค้นหาไฟล์ชื่อ log4jv2*.jar ที่ใดก็ได้บนดิสก์เพื่อความแน่ใจ ค้นหา จะทำเช่นนี้หากติดตั้งอื่น sudo ค้นหา / -iname log4j2*.jar.
โปรดทราบว่าบางแอ็พพลิเคชันเปลี่ยนชื่อไฟล์ log4j2 JAR ด้วย
นอกจากนี้ โปรดทราบว่า ณ วันนี้ (2021-DEC-19) พบช่องโหว่เพิ่มเติมใน Log4J v2 ที่อาจทำให้เกิดการปฏิเสธบริการจากระยะไกล และทุกคนที่แพตช์เป็น v2.16 ควรแพตช์เป็น v2.17
https://logging.apache.org/log4j/2.x/security.html#CVE-2021-45105
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
