Table of Contents[Hide][Show]
Log4Shell, vulnerabilitas interrete, nuper decies centena machinarum affecta est. Log4j, obscurum adhuc fere ubiquitosum programmatis, facit.
Log4j usus est in loga omnium actionum quae post scaenas in variis systematibus computatris occurrunt.
Fundatur in aperto fonte logging bibliothecae, quae negotiis et etiam Institutis regiminis in plurimis applicationibus adhibetur.
Cum una pessimum cyberium securitatis foraminum semper detectum sit, criticum est systemata tua ab hac vulnerabilitate tueri. Sed quomodo?
Investigemus Log4j vulnerabilitatem in singillatim et omnia possibilia solutiones figere pro eo.
Quid est Log4j?
Log4j est aperta principium compage colligationis quae dat programmata programmata ut varias notitias in suis applicationibus recordarentur. Est pars Project Services Apache Logging, quae currit per Apache Software Foundation.
Centum paginarum et instrumentorum Log4j utuntur ad operas criticas faciendas sicut notitia colligationis ad debugging et alios usus.
Cum inputare vel preme nexum pauperem in online et a 404 notitiam erroris accipi, hoc crebrum exemplum Log4 in opere est. Interretialis server qui dominium interretialem interretialem currit, adire conatus es, certiorem te facit talem paginam interretialem esse. Etiam eventum log4j logat pro administratoribus systematis ministri.
In programmatibus programmata similia diagnostica signa adhibentur. In ludo interretiali Minecraft, exempli gratia, server Log4j utitur ad aperiendam navitatem ut summa RAM adhibita et usoris instructiones in consolatorium missas.
Quomodo fit vulnerabilitas?
Speculae notae novae sunt in Log4j 2.0 introductae, quae adiuvat informationes incorporare in viscus iniuriarum. Una ex his spectibus est JNDI (Java Naming et Directorium interface) lookup, quod est Java API ad communicandum cum servitio directorio.
Hoc accessu utens, usor internus IDs ad nomina usoris actualia describi possunt. Haec quaestio nuper inventa RCE vulnerabilitatem exponit, quia una e notitiarum specierum a servo LDAP suppleta est URI demonstrans classi Javae, quae tunc in memoriam oneratur et instantia Log4j currit.
Ob debilitatem in radice initus bibliothecae Log4, LDAP servo arbitrario injicere potest ex infideli fonte. Quia tincidunt ponunt quod notitia ad acta tractabitur sicut textus planus, nulla sanatio extra input suscepta est, et initus periculosus usor intrat ligna.
Tessera constitutionis huius fortasse vultus:
Malus usor nunc a JNDI speculationem inserere volebat cum servo LDAP improbo referens in parametro URL. The JNDI lookup would be as follows:
Bibliotheca Log4j tunc loquitur cum hoc LDAP servo in oppugnatore.com ut notitias directorias invenias, inter valores Factory Java et in Codebase Java.
Hi duo valores includunt classis oppugnatoris Java, quae postea in memoriam onusta est et ab exempli Log4j supplicium sumptum, codicem executioni perfecit.
Quis est in periculo!
Log4j vulnerabilitas incredibiliter lata est, afficiens applicationes negotiorum, machinas infixas eorumque subsystematum. Appellationes affectatae includunt Cisco Webex, Minecraft, et FileZilla FTP.
Sed hoc neutiquam est integrum album. Vitium etiam impingit Ingenuitas Martis 2020 missionem chopper, qua Apache Log4j utitur ad res memorandas.
Securitas communitatis vulnerable systems album of. Difficilis est notare has tabulas continenter adaequationis esse, si ergo certa ratio seu ratio non enucleatur, non id sumit nec affectus est.
Patefacio huic vulnerabilitatis satis probabile est, et etiam si specificum tech BIBLIOTHECA non applicat Java, securitatem executives exspectare debent systemata critica, provisores Saas, nubes provisores obnoxii, et provisores interretiales id facere.
Quomodo ad reprimendam vulnerabilitatem Log4j?
Primus gradus est determinare num impugnatio iam facta sit. Hoc facere potes annotando acta systematis RCE payload fragmentorum.
Si quaesitio termini sicut "jndi", "ldap", vel "$::" cedunt omnia tigna, investigatores securitatis ulterius explorare debent an legitimum impetum vel solum fingerprinting.
Multae insultus in bestiis deprehensae sunt quae nullos payload damnosos liberaverunt. Nihilominus, periti securitatis factae sunt ut statuerent quot apps huic impetu vulnerabiles essent.
Proximum est ut bibliotheca Log4j ad omnia incepta cognoscenda. Si versiones inter 2.0-beta9 et 2.14.1 adhibentur, consilium subesse potest.
Cum difficultas determinandi ubi haec vulnerabilitas existit, praeferenda est praesumendi propositi susceptibilis et adaequationis bibliotheca optima curricula ad tollendum periculum codicis executionis.
Exertum non est vulnerabile si versio adhibita minus est quam 2.0-beta 9, quamvis bibliotheca Log4j adhuc sit upgraded quia versiones in 1.x range antiquae sunt nec iam updates get.
Utrum consilium susceptivum detegatur, admonetur ut inhibeatur ut videas an aliqua notitia initium utendi Log4j notitias contineat in user mutare posse. URLs, petant parametri, capitis, et crustula huius notitiae exempla sunt. Si unum ex his initium est, in periculo est propositum.
Haec cognitio te iuvare potest ulterius in systemata congesta et dijudicando an applicatione tela tua oppugnata sit.
Libera instrumenta online sunt quae deprehendere possunt si applicatio interretialis vulnerabilis est. Una harum progressio est Venatrix Log4Shell. Est aperta fons et in promptu GitHub.
Si area vulnerabilis notae in applicatione online deprehensa est, payload provisum a instrumento detecto in applicationem interretialem injicere potest. Instrumentum probatio coniunctiones inter applicationem inter telam tuam factas ostenderet ac servo LDAP si vulnerabilitas abuteretur.
Solutiones figere Log4j vulnerability
Primus gradus est Log4j renovare, quod facere potes utendo actoribus ustatis involucro vel ex hac protinus deprimendo. Page.
Fieri etiam potest ut vulnerabilitas abusionis minuatur, ponendo ambitum mutabilem format MSG NO LOOKUPS ad verum. Sed haec countermensure
Nunc videamus de optionibus optio.
1. Workarounds pro Log4j version 2.17.0
Prorsus valde monitum est ut versio Log4j 2.15.0 defendatur contra Log4Shell, tamen, si id fieri non potest, aliae solutiones praesto sunt.
Versiones 2.7.0 et postea ex Log4j; Fieri potest ut contra quemlibet impetum protegatur forma rerum mutandarum utens incipiendi syntaxin nolookups cento m pro notitia quam utentis suppeditat. Haec renovatio postulat ut Log4j configurationem lima emendo ut novam programmatis versionem generet. Quam ob rem, antequam hanc novam versionem explicem, gradus technici et operandi sanationis iterari debent.
Log4j versiones 2.10.0 et infra: Possibile est etiam contra quemlibet impetum tueri, quod log4j2.formatMsgNoLookups configurationis parametri ad verum, exempli gratia, cum Java virtualis apparatus cum optione -Dlog4j2 incipiens." formatMsgNoLookups = verum, Alia optio JndiLookup genus e classpath argumenti removere est, quae principale impetum vectoris removebit (investigatores non imperant facultatem alterius oppugnationis vectoris).
Amazon Web Services praebet hotpatch quod est "adhiberi debet periculo tuo." Aliae "technicae", ut Logout4Shell, quae "hac vulnerabilitate contra se utitur", editae sunt. Securitas peritia quaestionum legitimum huius motus, quod implicat "machinam caesim reficere".
2. Problema solutum est in Log4j v2.17.0.
Versiones enim major 2.10: Log4j2.formatMsgNoLookups verae apponi debent.
Pro versionibus 2.0 per 2.10.0: Praeceptum sequens currite ut LDAP genus ab Log4j removeat.
Log4j2.formatMsgNoLookups verae in ratio uncinis apponi debet.
Mitigatio in JVM
Mitigatio cum JVM parametris optio iam non est. Aliae modi mitigantes ut felix pergat. Upgrade to Log4j version 2.17.0 si fieri potest. Migratio dux praesto est pro Log4j v1.
Si renovatio fieri non potest, fac ut in clientelam laterum et servulorum laterum -Dlog4j2.formatMsgNoLookups = vera ratio proprietatis constituatur.
Quaeso nota quod Log4j v1 ad vitae finem pervenerit (EOL) et cimex fixiones amplius non recipiet. Aliae RCE vectores etiam subesse Log4j v1. Hinc hortamur ut quam primum upgrade ad Log4j 2.17.0.
3. Mitigationis mensuras
Res gestae currentes laborare non possunt etiam si Log4j in aliquibus instantiis susceptibilis est, ut si machina exercitus currens sit amplior versio Java quam 6u212, 7u202, 8u192, vel 11.0.2.
Hoc melius debetur Java Nameing and Directory Interface (JNDI) remotis classium loading praesidio in versionibus currentibus, quod ad oppugnationem operari necesse est.
Praeterea, cum versionibus Log4j amplioribus quam 2.10, exitus evitari potest, ponendo valorem systematis formatMsgNoLookups ad verum, praebens argumentum -Dlog4j2.formatMsgNoLookups = verum, vel JndiLookup classis e classpath delendo.
Interea, donec instantiae vulnerabiles fixae sint, vulnerabilitas adhibenda est utendi technicis instrumentis infra:
- Systema proprietatis log4j2.formatMsgNoLookups ad verum pro >=2.10.
- Pone ambitum optionis LOG4J FORMAT VUL NO LOOKUPS ad verum pro >=2.10.
- Aufer JndiLookup.class ex classpath pro 2.0-beta9 ad 2.10.0: zip -q -d log4j cori*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Commendatur praxis maxime ad mercaturam egressum circumscribere interrete ad solos portus opportunis.
Etsi plurimi impetus in campo super HTTP traditi sunt, vulnerabilitas per quemlibet protocollum quae usorum input data utens Log4j abutuntur.
Nihilominus adaequationis ad log4j 2.17.0 optimum remedium est, quod aliquis accedere ad exitum invenire potest. Ceterum editores et artifices multum ad eorum operas vel apps emendationes denuntiarunt.
4. Log4Shell vulnerability panni rudis
Log4j omnipraesens est, praesertim nunc vulnerabilitas abutitur. Summatim omnia quae debes facere, includunt characteres sequentes in truncis a Log4j inspectis.
Et hoc detrahet et faciet tabellam Javam in fine URL positam. Est tam simplex quam est dramatica.
Ut nostis, criticum est ad upgrade log4j ad versionem >= 2.17.0 ad medicinam hanc Log4Shell vulnerability mederi (CVE-2021-44228).
Si hoc non potest;
Ad applicationes, quae versiones bibliothecae Log4j utuntur 2.10.0 et postea, etiam contra quemlibet impetum tueri possunt ad veram figurationem parametri log4j2.formatMsgNoLookups, exempli gratia, dum incipiendo machinam virtualem Javam cum -Dlog4j2.formatMsgNoLookups = verum est. optio.
Alia optio est genus JndiLookup delere e classpath argumenti, quod primarium impetum vectoris removebit (investigatores non imperant existentiam vectoris alterius oppugnationis).
Nota
Instituta qui haesitant vel nolunt adaptare systematum susceptibile (vel qui extra cautelam instituere volunt) cogitare debent:
- Fac omnia negotiatio per iSensor/waff/IPS. Hoc potest custodire impetum ne accessus ad rationem accedat.
- Circumscribere quantitatem negotiationis quae ad systema susceptibile attingere potest Si ratio cum interrete coniungi non indiget, accessum ad modos essentiales et fideliores IPS et circumscriptiones restringit.
- Reducendo ad exercitum exitu negotiationis auctoritate. Quia hic impetus operatur cum servo improbo coniungendo, omnes superfluae IP inscriptiones et portus in muro fire clausurae sunt.
- Si servitus iam non requiritur, debilitari debet donec fixum sit paratum.
Conclusio
Log4j vitia nostram communitatem perculsa sunt et nos commonuit omnes quam fidentes sumus in programmate aperto fonte.
Log4j unica est. Ratio operandi nec est, nec navigatrum est, nec utaris est. Immo quid programmatores indicant bibliothecam, sarcinam, vel moduli codicem. Uno modo inservit, id est, observans memoriam eorum quae servo fiunt.
Qui codicem scribunt malunt intendere in id quod proprium programmatum facit. Non sunt interested in reinveniendi rotam. Quam ob rem nituntur plethora existendi in codice bibliothecae, ut Log4j.
Modulus Log4j ab Apache derivatur, programmatis interretialis amplissimus usus. quam ob rem in millions servorum reperiri potest. Hinc securitatem minas augens.
Spero autem solutiones praedictas adiuvabunt ut cogitationes tuas incolumes serves.
Mane versa ad HashDork ad utiliores notitias ex technica mundi.
Leave a Reply