如何测试您的Linux主机能否容易遭到Log4j的攻打
Log4j破绽是很重大的疑问。这个零日破绽影响Log4j库,让攻打者可以在依赖Log4j写入日志信息的系统上口头恣意代码。
该破绽领有最高的CVSS评分:10.0,因此您须要分内当心。最大的疑问之一是知道您能否容易遭到攻打。Log4j可以经过多种模式加以部署,因此状况变得更为复杂。您将它用作Java名目的一局部、将它并入到容器中,将它连同发行版软件包治理器一同装置,假设是这样,您装置了哪些log4j软件包?还是说您是从源代码来装置它的?正由于状况很复杂,您甚至或者不知道自己的主机能否容易遭到攻打。
幸亏,GitHub用户Rubo77针对Linux主机创立了一个 脚本 ,可用于审核含有容易遭到攻打的Log4j实例的软件包。它处于测试版阶段,并非百分之百牢靠,不过经常使用它是很好的终点。要明确,该脚本并不测试与运行程序一同打包的jar文件,因此它只是您开局剖析破绽的一个终点而已。
我在一台我知道装置了容易遭到攻打的Log4j软件包的主机上测试了这个脚本,它正确地标志出该主机易受攻打。上方引见如何在您的Linux主机上运转这同一个脚本,以查明自己能否容易遭到攻打。登录到您的主机并口头命令:
假设您的主机容易遭到攻打,该命令的输入会提供一些线索。如您所见(图A),我的实例含有liblog4j2-java版本2.11.2-1,该版本存在这个破绽。在这种状况下,我应立刻更新到2.15.0。假设不可装置更新版,疑问会不时存在,直至给软件包打上补丁。
图A. 我的测试主机容易遭到Log4j疑问的影响
请记住,该脚本并非十拿九稳,而是一个很好的终点。即使您的主机不易遭到攻打,也要确保您已更新了每个必要的软件包,以防止遭到该破绽的影响。