目前,根據Spring 博客,已經發布了許多建議的步驟,用于log4j-core從依賴項中排除庫或升級到最新(以上version 2.15)版本。是否有任何推薦的工具可用于保護部署在 Google App Engine 或 Pivotal Cloud Foundry (PCF) 中的 spring 應用程式,以保護而不是修補它們以重新部署?
另一個必要的問題是,如果它依賴另一個微服務并且該微服務已經使用易受攻擊的 log4j-core 版本,它是否會使我的應用程式(微服務 spring 應用程式)對其某些服務使用另一個微服務易受攻擊?
uj5u.com熱心網友回復:
關于您的第一個問題,您可以設定一個環境變數以禁用 log4j 中的替換查找:
LOG4J_FORMAT_MSG_NO_LOOKUPS=true
請注意,這只適用于 log4j >= 2.10。
我相信您可以在 PCF 中設定環境變數而無需重新部署服務(當然,需要重新啟動),因此不需要新版本。請參閱:https : //docs.pivotal.io/pivotalcf/2-3/devguide/deploy-apps/environment-variable.html和https://cli.cloudfoundry.org/en-US/v6/set-env。 html
為了查看您的 spring-boot 應用程式是否容易受到攻擊,您可以使用我為此目的創建的 spring-boot 測驗:https : //github.com/chilit-nl/log4shell-example - 您可以測驗您的有和沒有環境變數的應用程式,看看它是否有任何影響(假設您的應用程式當前易受攻擊)。
uj5u.com熱心網友回復:
對您的第一個問題的簡短回答可能是。您可以通過使用 WAF 中的規則丟棄 ${jndi://ldap 模式來保護您的應用程式/服務。然而,這有很多突變(base64 編碼等),它不會是萬無一失的。如果您擔心依賴項,您應該設定 JVM 引數并重新部署您的應用程式以防止查找作為解決方法。
關于您的第二個問題-如果第二個微服務正在傳遞相同的輸入并且正在記錄,則答案是肯定的。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qianduan/385122.html