當前的 log4shell 問題(著名的 CVE-2021-44228)為攻擊者提供了在易受攻擊的面向互聯網的機器上執行不受信任代碼的載體。
通過將代碼放置在修補易受攻擊的庫的目標機器上,這是否可以用來修補漏洞?
編輯:為了澄清這個問題,這僅針對是否可以通過此 shell 訪問向量遠程修補運行 Java 代碼的技術問題。
uj5u.com熱心網友回復:
從法律上講,這是一個明確的不。
由于您仍在系統上執行代碼,因此未經所有者授權,您不擁有。雖然這樣做有防止壞黑客攻擊系統的好意,但這種解決問題的方式仍然是非法的。
從技術上講,是的。
正如您正確理解的那樣,您可以完全控制執行任意代碼的系統,包括安裝“修復程式”。
實際上,這取決于您希望如何實施修復以及您是否找到可擴展的通用解決方案以使用相同的方法“修復”不同的配置系統。
更新庫需要確定易受攻擊檔案的位置log4j-core.jar并將其替換為固定版本,但您還需要使用庫重新啟動服務,因為易受攻擊的版本可能已經加載到記憶體中。磁盤上檔案的更改不會反映在正在運行的程式中。
檔案和正在運行的服務的位置因系統而異,這使得實作通用解決方案變得更加困難。
該漏洞利用已經是一個公開報告的漏洞,并且非常容易利用 5 天。如果你還沒有修補它,你可能已經被利用了。攻擊者可能已經安裝了另一個惡意軟體,該軟體能夠在未來通過遠程控制加載任何執行任何新代碼,并且不再需要 log4j 漏洞利用。
如果您還沒有修復 log4j 漏洞,更新 log4j 已經不夠了。您必須假設您的系統已經受到休眠木馬的危害,您應該重置整個系統以擺脫它。
我的建議是不要這樣做。嘗試聯系系統所有者,告訴他們更新和重置整個系統。
uj5u.com熱心網友回復:
似乎至少有一個概念驗證級別的專案試圖就地修補漏洞,因此在技術上是可行的:https : //github.com/Cyber??eason/Logout4Shell。
作者在博客文章中詳細說明了他們的方法,從中可以看出漏洞利用-修復-組合(他們稱之為“疫苗”)也是他們公司的廣告。評估時請記住這一點。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/381657.html
上一篇:由于新的Log4j漏洞,ApacheHTTPServer可以允許反向脫殼嗎?
下一篇:log4jlog4net安全違規