搜索 log4j 漏洞的最佳方法是什么?在源代码中搜索“log4j”关键字是否足够?它只影响Java应用程序吗?我在某处读到应用程序有时会将 log4j 重命名为另一个名称。快速谷歌搜索提供了几种比声称可以检测漏洞的工具。
最佳答案
该漏洞来自JndiLookup.class
。在控制台中使用以下命令:
sudo grep -r --include "*.jar"JndiLookup.class/
如果它没有返回任何内容,那么您就不会受到攻击。 但你可能会遇到这样的返回:
Fichier binaire/home/myuser/docx2tex/calabash/distro/lib/log4j-core-2.1.jar 对应
或
grep:/usr/share/texmf-dist/scripts/arara/arara.jar:文件二进制文件通讯员
第一个显然容易受到攻击(版本匹配),第二个必须进行调查。为了降低风险,我立即删除了 JndiLookup.class,如下所示:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
和
zip -q -d arara.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
应用程序可能会继续工作,也可能不会。顺便说一句,必须升级到使用 log4J >= 2.17 的版本。这是下一步,同时您不再容易受到攻击。
关于security - 如何搜索log4j漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/70399197/