问题et Réponses sur la Vulnérabilité Log4j Log4Shell

Dans notre récent webinaire，解释sur la vulnérabilité Log4j Log4Shell: Tout ce que vous devez savoir， notre expert en recherche de sécurité， shachhar Menashe, a partagé des information sur ce problème de sécurité ainsi que sur la façon de le détecter et d 'y remédier。

信息共享之智supplémentaires dans les questions et réponses suivantes, basées sur les questions soulevées lors du webinaire。

Le problème de sécurité Log4j

评论l 'exploit log4j s'exécute-t-il ?

JFrog a publié un钢瓶完成qui explique la vulnérabilité dans le détail。Veuillez consulter la section:«Quelles sont les causes de la vulnérabilité Log4j Log4Shell ?»

J 'ai entendu可怕的que l 'appel d 'API log4j était vulnérable lui aussi。Pourquoi vous concentration -vous unique sur le noyou ?

L 'API log4j n 'est pas vulnérable, seul le noyau log4j-core L 'est。

Quelle est la différence entre la vulnérabilité log4j log4shell et Shellshock en termes d 'impact global ?

Log4shell et Shellshock sont des vulnérabilités d 'exécution de code à distance quont un impact sur un vaste éventail de systèmes。Shellshock est une vulnérabilité dans bash (un shell Linux très commun)， qui est une application, tandis que log4shell est une vulnérabilité dans la bibliothèque log4j。Pour plusieurs reason, leProblème de sécurité log4jPrésente加上de difficultés en termes d 'atténuation de la menace。

倒détecter Shellshock, il suffisait de vérifier dans le système本地si une版本vulnérable de bash était installée;Bash lui-même n 'est généralement pas livré avec des dépendances tierces。

Le problème de sécurité log4shell est beaucoup加艰难à détecter，汽车log4j est une bibliothèque。La détection nécessite donc de vérifier toutes les dépendances直接和间接(及物/récursives)。De plus, le vecteur d’attaque De log4shell est plus courant (journalisation des entrées non nettoyées) que celui De Shellshock (transmission des entrées non nettoyées à l’environment bash)。

Log4shell est également加上艰难的à corriger: étant donné qu'il s 'agit d 'une bibliothèque, plusieurs API ont été modifiées dans des versions加上récentes。Un fournisseur de logiciel peut donc avoir à修饰符le code propriétaire交互指示avec log4j, et non - se content de mettre à niveau log4j lui-même。

Enfin, les nouvelles versions de log4j nécessitent une version加上récente de Java (Java 8 par rapport à l 'ancien Java 6/7)。Le fournisseur du logiciel peut donc devoir lui aussi mettre à niveau Le合成Java, ce qui peut entraîner des incompatibilités avec d 'autres logiciels Java sur Le système。

Qu 'en est-il de log4j version 1, qui n 'est pas vulnérable ?Sera-t-il affecté par la vague d 'attention sur log4j version 2 ?

我遇到了第1版的危险。先承者，主犯，主犯，维护者，加上对合成物的研究，对鉴定人的鉴定人vulnérabilités。

解决方案倒trouver et corger Log4j

Avez-vous des outils spécifiques qui peuvent m 'aider à identifier si j 'ai des paquets log4j dans mes dépôts ?

是的!倾其所能，不为客户所用plateforme DevOpsJFrog comme élément中央de leur过程de cycle de vie du développement logiciel (SDLC)批判处置déjà de tout le nécessaire pour remédier rapidement à lavulnerabilite Log4j．

Avec vos包，fichiers binaires，图像等métadonnées accumulés sous laGestion du dépôt de binairesd’artifactory, vous pouvez研究人员des人工制品和des建筑Pour découvrir chque utilisation du package log4j, y compis en tant que dépendances transitives, dans l 'ensemble de votre chaîne d 'approvisionnement logicielle。Vous pouvez égalementcréer des stratégies x射线et des手表Pour bloquer tous les构建ultérieurs qui utilent des versions vulnérables du package log4j à partir de la生产。

倒la communauté des développeurs丹斯儿子合成器，JFrog一个également publié un合成器实用d 'outils开源倒标识符l ' utilization de log4j这些是代码源和二进制文件，这些是年度文件。

假设合理的应用，不组合的层，完全dépendance de temps de编译de log4j。存在-t-il un moyen de se débarrasser de log4j tout en utilant ce composant ?

Cela ne pose problème que si le包利用une版本vulnérable de log4j。Si tel est le cas, vous devrez obtenir une version corrigée du composant tiers。Si vous avez le源代码，vous pouvez le编译器vous-même avec la版本réparée de log4j。

Toute dépendance qui fait référence à log4j est-elle vulnérable à cette attack, même lorsqu 'elle utilise une bibliothèque d 'API telle que Spring Framework qui fait référence à la bibliothèque log4j en tant que dépendance ?

Tout dépend de chaque cas spécifique et des parties de la bibliothèque log4j utilisées。Le noyau log4j-core est vulnérable, mais l'API log4j-ne l'est PAS。

Pour obtenir les résultats les plus complets, nous vous建议d 'utiliser un outil d 'analyse de la逻辑组合(SCA)tel que JFrog x射线倒标识符les vulnérabilités de toutes vos dépendances logicielles, y compis cell liées à log4j, mais aussi bien d'autres。

Si vous n'en avez pas, vous pouvez utiliser les outils OSS JFrog créés pour la communauté afin d 'identifier spécifiquement l 'utilisation de log4j dans le code source et les fichiers binaires (voir ci-dessus)。

Une fois que x射线détecte qu 'un artifact est vulnérable à log4shell，存在-t-il un moyen de déterminer quels sont les consommateurs de cet artifact, c 'est -à-dire d 'utiliser Artifactory pour suivre quels services/utilisateurs ont accédé à/téléchargé l ' artifact vulnérable, afin que ces services spécifiques puissent être analysés ?

张力!C 'est pour cela que la Plateforme JFrog a été conçue。Vous pouvez utiliser x射线et Artifactory pour identifier les consommaturs d ' artifacts vulnérables et contrôler leur utilisation à l 'aide des méthodes suivantes:

• Recherche dans vos dépôts de l 'utilisation de packages log4j
• 研究CVE-2021-44228
• Exécution d 'une requête build-info dans Artifactory pour répertorier tous les builds qui utilisent la bibliothèque log4j-core comme dépendance
• Définition d 'une stratégie x射线倒警报en cas de违例ou bloquer le téléchargement du包vulnérable

倾倒+ d '信息，咨询notre article de blog，选民卡内德Remédiation Log4shell Avec la平台JFrog， qui traite de plusieurs méthodes pour découvrir, bloquer et corriger la vulnérabilité log4shell。

Puis-je voir une démonstration de x射线pour l 'identification de dépendance statique et transitive ?

Nous en serons ravis !Veuilleznous接触器pour obtenir une démonstration de x射线Et nous vous上诉pour vous montrer comment vous pouvez voir à travers toutes les沙发des dépendances d 'UN人工制品。