Log4j Log4Shell漏洞问答| JFrog - 2022年世界杯赛程时间表

在我们最近的网络研讨会上，Log4j Log4Shell漏洞解释:所有你需要知道的，我们的高级主管安全研究专家Shachar Menashe分享了有关安全问题以及如何检测和修复它的信息。

我们很高兴在以下的问答中分享更多的信息，基于在网络研讨会上提出的问题。

Log4j安全问题

JFrog综合发表了一篇文章博客这就详细解释了漏洞所在。请参阅“是什么原因导致Log4j Log4Shell漏洞?”

log4j-api不存在漏洞，只有log4j-core存在漏洞。

log4shell和Shellshock都是影响大量系统的远程代码执行漏洞。Shellshock是bash(一种非常常见的Linux shell)中的漏洞，bash是一个应用程序，而log4shell是log4j库中的漏洞。出于多种原因，Log4j安全问题在减轻威胁方面提出了更大的挑战。

要检测Shellshock，检查本地系统是否安装了易受攻击的bash版本就足够了;Bash本身通常不附带第三方依赖项。

log4shell安全问题更难检测，因为log4j是一个库，因此检测需要检查所有直接和间接(传递/递归)依赖项。此外，log4shell的攻击向量(记录未经处理的输入)比Shellshock的攻击向量(将未经处理的输入传递给bash环境)更常见。

Log4shell也更难修复——因为它是一个库，在新版本中更改了几个api，这意味着软件供应商可能必须修改直接与log4j交互的第一方代码，而不仅仅是升级log4j本身。

最后，更新版本的log4j需要更新版本的Java (Java 8 vs.遗留的Java 6/7)，这意味着软件供应商可能也必须升级Java组件，这反过来可能导致与系统上其他基于Java的软件不兼容。

当前的漏洞不会将版本1置于危险之中。但是，攻击者现在可能会投入更多精力来研究log4j组件，试图找到其他漏洞。

是的!首先，我们的客户使用JFrogDevOps的平台作为其关键任务软件开发生命周期(SDLC)过程的中心部分，已经具备了快速补救所需的一切Log4j脆弱性．

在Artifactory的目录下使用您积累的包、二进制文件、图像和元数据二进制存储库管理，你可以搜索工件和构建在整个软件供应链中发现log4j包的每个用法，包括作为传递依赖项的用法。你可以创建x射线策略和手表从生产中阻止使用易受攻击的log4j包版本的任何进一步构建。

对于广大的开发者社区，JFrog还发布了一组有用的开源工具识别log4j的使用在本地目录的源代码和二进制文件中。

只有当包使用易受攻击的log4j版本时，才会出现这个问题。如果是这种情况，您将需要获得第三方组件的固定版本。如果您有源代码，您可以自己用固定的log4j版本编译它。

这取决于具体情况，以及正在使用log4j库的哪些部分。虽然log4j-core是脆弱的，但log4j-api是不脆弱的。

为了获得最全面的结果，我们建议使用软件组合分析(SCA)扫描工具，如JFrog Xray，以识别所有软件依赖项中的漏洞——包括那些与log4j相关的漏洞，但还有很多很多。

如果您无法使用这个工具，您可以使用JFrog为社区创建的OSS工具来明确标识源代码和二进制文件中的log4j使用情况(参见上面)。

绝对的!这就是创建JFrog平台的目的。您可以使用Xray和Artifactory识别易受攻击工件的消费者，并使用以下方法控制其使用:

欲了解更多细节，请参阅我们的博客文章，您的Log4shell补救食谱使用JFrog平台，讨论了发现、阻止和修复log4shell漏洞的多种方法。

我们会很高兴的!请联系我们的演示x射线我们将设置一个调用，向您展示如何透视工件依赖关系的所有层。