博客家

Log4j Log4Shell

通过Asaf科恩

5分钟阅读

Log4j Log4shell脆弱性问答

JFrogLog4j Log4Shell漏洞解释:所有你需要知道的にて,シニアディレクターのShachar选用一些(シャチャー・メナシェ)は,このセキュリティ問題とその検出・修正方法に関する情報を共有しました。

Log4j

Log4j ?

JFrogブログ★★★★★★★★
“Log4Shell, ?”

log4jのAPIコールも脆弱であると聞きましたが,JFrogではなぜコアだけに注目しているのですか吗?

Log4j-api。

log4jのlog4shell脆弱性は,弹震症と比較して世界的な影響はどうですか吗?

log4shellと弹震症は,どちらも膨大な範囲のシステムに影響を与えるリモートコード実行の脆弱性です。弹震症は,アプリケーションであるbash (Linuxのごく一般的なシェル)の脆弱性であり,log4shellはlog4jライブラリの脆弱性です。いくつかの理由から,log4jのセキュリティ問題の方が,脅威を軽減する観点からは大きな課題となっています。

弹震症を検出するには,脆弱なバージョンのbashがインストールされているかどうかをローカルシステムで確認するだけで十分でしたが,bash自体は通常サードパーティの依存ファイルと一緒には出荷されません。

。log4jはライブラリであるため、検出にはすべての直接および間接(推移的/再帰的)依存関係をチェックする必要があります。さらに、log4shell の攻撃ベクトルは、Shellshock の攻撃ベクトル(未解析の入力を bash 環境に渡す)よりも一般的(未解析の入力を記録する)です。

。。これは,ソフトウェアベンダが,log4j自体をアップグレードするだけでなく,log4jと直接やりとりするファーストパーティコードを修正しなければならないかもしれないことを意味します。

そして,log4jのより新しいバージョンは,より新しいバージョンのJava(従来のJava 6/7に対してJava 8)を必要とします。これは,ソフトウェアベンダが同様にJavaコンポーネントをアップグレードしなければならないかもしれないことを意味し,それは,システム上の他のJavaベースのソフトウェアとの互換の問題を起こすかもしれません。

脆弱でないlog4jバージョン1についてはどうでしょうか吗?log4jバージョン2の注目度の高さの影響を受けるでしょうか?

現在のエクスプロイトは,バージョン1を危険にさらしません。しかし攻撃者は,追加の脆弱性を見つけようと,log4jコンポーネントの調査に今より多くの努力をするかもしれません。

Log4jの検出とその修正ソリューション

?

はい,あります。まず,ミッションクリティカルなソフトウェア開発ライフサイクル(SDLC)プロセスの中心的な部分としてJFrogDevOps的平台を使用しているJFrogのお客様は,log4jの脆弱性に対して素早く修正するために必要なすべてをすでにお持ちです。

Artifactoryのバイナリリポジトリ管理下で蓄積されたパッケージ,バイナリ,イメージ,メタデータを使って,アーティファクトやビルドを検索し,ソフトウェアのサプライチェーン全体で,推移的な依存関係を含むlog4jパッケージのあらゆる用途を発見することができます。またx光片して,log4jパッケージの脆弱なバージョンを使用しているビルドをプロダクションへリリースされることを防止することができます。

広く開発者コミュニティのために,さらにJFrogは,ローカルディレクトリ内のソースコードとバイナリの両方でLog4j

log4jのコンパイル時依存性を持っているサードパーティコンポーネントを使用したい場合,log4jを取り除く方法はありますか吗?

。。。

Spring框架のようにlog4jライブラリを参照するAPIライブラリを依存関係として使用している場合でも,log4jを参照する依存関係は脆弱なのでしょうか吗?

それは特定のケース,およびlog4jライブラリのどの部分が使用されているかに依存します。Log4j-core。
j青蛙x光机ソフトウェアコンポジションアナリシス(SCA)スキャンツールを使用して,すべてのソフトウェア依存関係における脆弱性を特定することをお勧めします。このスキャンは,当然log4jに関連するものだけでなく,包括的に脆弱なコンポーネントを検出します。

それが叶わない場合,ソースコードとバイナリでlog4jの利用を特定するために,JFrogがコミュニティのために作成したOSSツールを使用できます(上記を参照)。

x光がlog4shellの脆弱性を持つアーティファクトを検出したら,そのアーティファクトの使用者を特定する方法はありますか吗?つまりArtifactoryを使用して,どのサービス/ユーザが脆弱なアーティファクトにアクセス/ダウンロードしたかを追跡し,それらの特定のサービスを分析できますか吗?

哇!哇!JFrog平台,,,,,,,,,,x光と Artifactory を使って、脆弱なアーティファクトの使用者を特定し、次の方法でその使用をコントロールできます。

  • Log4j
  • Cve-2021-44228
  • Artifactoryでbuild-infoクエリを実行することによる,log4j-coreライブラリに依存するすべてのビルドのリストアップ
  • 違反の警告,脆弱なパッケージのダウンロードのブロックをするx光ポリシーの定義

“求求你,求求你!”使用JFrog平台的Log4shell修复食谱“。

x射线? ? ?

哇,哇,哇。x光のデモはこちらから。。

受欢迎的标签