Log4j漏洞常见问题
在2021年底,安全研究人员宣布了Log4j(一个广泛使用的开源日志工具)的一个重大漏洞。这个被称为Log4Shell的漏洞允许在使用Log4j的系统上任意执行代码。专家将Log4j漏洞描述为几十年来最严重的软件安全漏洞。
Log4j漏洞是一个名为Log4j的软件实用程序中的缺陷。当被利用时,该漏洞使远程攻击者能够在使用易受攻击的Log4j版本的系统上执行代码。
这意味着攻击者可以从远程位置有效地控制应用程序,并扩展到托管它们的服务器。
Log4j本身是一个日志工具,这意味着它是一个帮助应用程序生成和组织日志数据的工具。Log4j是专门为Java应用程序设计的。它是开源的,任何人都可以免费使用。
Java是世界上最流行的编程语言之一,Log4j于2001年首次发布。结合Log4j的开源特性,这些事实意味着Log4j已经广泛部署在生产应用程序中。虽然没有关于世界上Log4j安装总数的官方统计数据,但大多数研究人员估计它们的数量达到数百万。
Log4j本身没有本质上的危险;只要您使用的是该工具的安全版本,您就可以继续这样做而不必担心。
只有某些版本的Log4j受到该漏洞的影响。它们是Log4j版本2.0-alpha7到2.17.0,版本2.3.2和2.12.4除外。
虽然所有这些版本都是易受攻击的,但漏洞的严重程度在这个版本范围内有所不同。有关更多信息,请参阅我们的Log4j“备忘单”。
1.xversions Log4j are not impacted.
只要在您的软件环境中运行的Log4j版本不在受影响的版本之列,您就不会受到Log4j漏洞的影响。
如果将Log4j安装升级到新版本,也是安全的。要使用的具体版本取决于系统上运行的Java版本。要升级到Log4j的安全版本,您需要升级到以下版本:
2.3.2(适用于运行Java 6的系统)
- 2.12.4(适用于Java 7)
- 2.17.1(适用于Java 8及更高版本)
一旦将Log4j升级到安全版本,攻击者就无法再利用系统上的漏洞。
如上所述,Log4j版本2.0-alpha7到2.17.0容易受到Log4Shell的攻击。该范围内的例外是版本2.3.2和2.12.4,它们不容易受到攻击。
所有其他Log4j版本(即在2.0-alpha7之前或2.17.0之后发布的任何版本)都不容易受到攻击。
为了利用Log4j漏洞,攻击者在HTTP请求url中插入恶意字符串,然后将这些请求发送给运行Log4j易受攻击版本的应用程序。然后,Log4j将执行这些字符串中的代码。
实际上,这意味着攻击者可以通过将命令插入到HTTP请求中,在易受攻击的系统上运行他们选择的命令。
修复Log4j漏洞的最简单和最有效的方法是升级到Log4j的安全版本。如上所述,这些版本是:
2.3.2(适用于运行Java 6的系统)
- 2.12.4(适用于Java 7)
- 2.17.1(适用于Java 8及更高版本)
您还可以通过阻止对包含与漏洞利用相关的字符串的Log4j的请求来减轻该漏洞。在这方面,常见的字符串是${jndi。升级Java运行时环境(JRE)也可以缓解该漏洞,因为最新的JRE禁用远程代码加载。
但是,永久修复该漏洞的最佳方法还是升级到较新版本的Log4j。在可以升级之前,最好将其他缓解措施用作临时修复。
不。在Log4Shell发布后不久,JFrog证实Artifactory和其他JFrog产品都没有受到Log4j漏洞的影响。hth华体会最新官方网站
如果运行Artifactory的系统还托管其他使用易受攻击的Log4j版本的应用程序,则可能会受到影响,但Artifactory本身不会使您的系统易受攻击。
