搜索 log4j 漏洞的最佳方法是什么?在源代碼中搜索“log4j”關鍵字就足夠了嗎?它是否只影響 Java 應用程式?我在某處讀到應用程式有時會以另一個名稱重命名 log4j。快速谷歌搜索提供了幾種工具,聲稱可以檢測到漏洞。
uj5u.com熱心網友回復:
該漏洞來自JndiLookup.class. 在您的控制臺中使用以下命令:
sudo grep -r --include "*.jar" JndiLookup.class /
如果它什么都不回傳,你就不會受到攻擊。但是你可能會遇到這樣的回報:
Fichier binaire /home/myuser/docx2tex/calabash/distro/lib/log4j-core-2.1.jar correspondant
或者
grep: /usr/share/texmf-dist/scripts/arara/arara.jar : fichiers binaires correspondent
第一個明顯易受攻擊(版本匹配),第二個必須進行調查。為了降低風險,我立即洗掉了 JndiLookup.class 并使用以下內容:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
和
zip -q -d arara.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
應用程式可能會繼續作業,也可能不會。順便說一下,必須使用 log4J >= 2.17 升級到版本。這是下一步,在此期間您不再脆弱。
uj5u.com熱心網友回復:
您可以使用以下掃描器來識別應用程式中存在漏洞的 log4j jar 檔案。

轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/396811.html
上一篇:隱藏在jpg中的資料
