Tôi có log4j trên Ubuntu 18.04.6 không?

Rõ ràng là tôi lo lắng về lỗ hổng này, nhưng tôi tự hỏi liệu tôi có thư viện này trên máy của mình không?

Máy là một máy chủ web chạy một vài nút expressjs khuôn khổ hơn nginx, cộng với một máy chủ địa lý

Tôi đã vá máy ngày hôm nay với cập nhật sudo apt && nâng cấp sudo apt: ubuntu-advantage-tools, opensl và libssl1.1 đã được nâng cấp.

Phiên bản java của tôi là: phiên bản openjdk "1.8.0_292" Môi trường thời gian chạy OpenJDK (bản dựng 1.8.0_292-8u292-b10-0ubuntu1~18.04-b10) OpenJDK 64-Bit Server VM (bản dựng 25.292-b10, chế độ hỗn hợp)

Các máy chủ địa lý là v2.13.0 mà tôi tin là chương trình duy nhất có thể sử dụng log4j. Máy chủ địa lý của tôi là phiên bản nhị phân độc lập với nền tảng (không phải phiên bản Tomcat), sử dụng cầu tàu như máy chủ web của nó tôi nghĩ.

Làm cách nào để biết tôi có phiên bản log4j nào và phiên bản nào?

CẬP NHẬT: 2021-12-18...

Hãy nhớ luôn kiểm tra thông tin mới nhất từ ​​các nguồn được liệt kê bên dưới

CVE-2021-45105... 2.16.0 và 2.12.2 không còn hiệu lực khắc phục! Các phiên bản sửa lỗi hiện tại là 2.17.0 (Java 8) và 2.12.3 (Java 7). Tất cả các phiên bản Java khác phải thực hiện phương pháp tiếp cận khoảng cách dừng (xóa/xóa tệp JndiLookup.class khỏi JAR log4j-core.
Tôi đã cập nhật tin nhắn của mình dưới đây cho phù hợp.

Trực tiếp trả lời câu hỏi:
Đi đến Chủ đề Reddit: log4j_0day_ being_exploited và Điều khiển+f vì Thợ săn đệ quy .class và .jar. Chạy chương trình ở đó và nếu nó tìm thấy bất cứ thứ gì, hãy khắc phục.

Sau đó vào cùng một trang web và Điều khiển+f vì Tư vấn nhà cung cấp. Tìm kiếm các danh sách đó để xem liệu bạn có đang chạy bất kỳ phần mềm bị ảnh hưởng nào không. Nếu bạn đang có và có bản cập nhật, hãy cập nhật.

• Nhiêu tai nguyên hơn
  • https://www.reddit.com/r/blueteamsec/comments/rd38z9/log4j_0day_ being_exploited/
    • Trang này có TẤN thông tin hữu ích bao gồm trình phát hiện, thậm chí nhiều liên kết tài nguyên hơn, các bước khắc phục rất dễ hiểu và hơn thế nữa
  • https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance
  • https://github.com/cisagov/log4j-affected-db
  • https://logging.Apache.org/log4j/2.x/security.html

khắc phục:
CVE-2021-45046 ... CVE-2021-44228 ... CVE-2021-45105
Trong khi hầu hết những người cần biết có lẽ đã biết đủ để làm những gì họ cần làm, tôi nghĩ tôi vẫn sẽ đưa ra điều này để đề phòng...

• Làm theo hướng dẫn trong các tài nguyên đó... nó có thể thay đổi, nhưng

Kể từ 2021-12-18

về cơ bản là

• Xóa các tệp JAR log4j-core nếu có thể
  • Từ cả hai máy đang chạy để khắc phục ngay lập tức VÀ
  • trong các tệp quản lý mã nguồn/mã nguồn của bạn để ngăn các bản dựng/phát hành/triển khai trong tương lai ghi đè thay đổi
• Nếu điều đó là không thể (do phụ thuộc), hãy nâng cấp chúng
  • Nếu bạn đang chạy Java 8, thì bạn có thể nâng cấp lên log4j 2.17.0+
  • Nếu bạn đang chạy Java 7, thì bạn có thể nâng cấp lên log4j 2.12.3
  • Nếu bạn đang chạy phiên bản Java cũ hơn, bạn cần nâng cấp lên phiên bản Java mới nhất, sau đó sử dụng phiên bản Log4J mới nhất
  • Một lần nữa, những thay đổi này phải xảy ra cả trên máy đang chạy và mã
• Nếu một số lý do không thể thực hiện được vì một số lý do... thì sẽ có khoảng cách dừng KHÔNG khắc phục để xóa tệp JndiLookup.class khỏi tệp JAR log4j-core.
  • Có một lớp lót cho tùy chọn khoảng cách dừng trên Linux bằng cách sử dụng khóa kéo lệnh đi kèm với hầu hết các bản phân phối Linux theo mặc định.
    • zip -q -d "$LOG4J_JAR_PATH" org/Apache/logging/log4j/core/lookup/JndiLookup.class
  • Tại thời điểm viết bài này, hầu hết các hướng dẫn trực tuyến về tùy chọn khoảng cách dừng trên Windows đều yêu cầu thực hiện như sau (một lần nữa... giả sử bạn không thể thực hiện một trong các tùy chọn xóa JAR hoặc nâng cấp ở trên):
    • Cài đặt một cái gì đó như 7-zip
    • Định vị tất cả các tệp JAR log4j-core của bạn và đối với mỗi tệp, hãy thực hiện như sau...
    • Đổi tên JAR để thay đổi phần mở rộng thành .zip
    • Sử dụng 7-zip để giải nén JAR (hiện có một .zip sự mở rộng)
    • Xác định vị trí và xóa tệp JndiLookup.class khỏi thư mục đã giải nén
      • Con đường là \path\to\unzippedFolder\org\Apache\logging\log4j\core\lookup\JndiLookup.class
    • Xóa tệp JAR cũ (hiện có phần mở rộng là .zip)
    • Sử dụng 7-zip để nén lại thư mục
    • Đổi tên thư mục .zip mới để thay đổi phần mở rộng thành .cái lọ
  • Ngoài ra còn có một số tùy chọn để sử dụng Power Shell
    • Chủ đề Reddit: log4j_0day_ being_exploited
    • Điều khiển+f cho "PowerShell"

Điều này tốt nếu bạn chỉ có 1 hoặc 2 tệp JAR để xử lý và bạn không ngại cài đặt 7-zip hoặc bạn có sẵn PowerShell để làm điều đó. Tuy nhiên, nếu bạn có nhiều tệp JAR hoặc nếu bạn không muốn cài đặt 7-zip và không có quyền truy cập vào Power Shell, thì tôi đã tạo một tập lệnh VBS mã nguồn mở để thực hiện điều đó cho bạn mà không cần cài đặt bất kỳ phần mềm bổ sung. https://github.com/CrazyKidJack/Windowslog4jClassRemover

Đọc README và Ghi chú phát hành https://github.com/CrazyKidJack/Windowslog4jClassRemover/releases/latest

Xin lưu ý rằng chỉ log4j v2 mới có lỗ hổng này. Log4j v1 cũ hơn không bị ảnh hưởng bởi lỗ hổng này.

Quan trọng, bạn sẽ không tìm thấy nó trong danh sách apt của mình (như được mô tả trong câu trả lời được chấp nhận) vì nó thường không được cài đặt dưới dạng ứng dụng hoặc dịch vụ độc lập. log4j là một thư viện ghi nhật ký java được các ứng dụng sử dụng và do đó, nó sẽ được cài đặt cùng với một ứng dụng (Java) khác.

Bạn sẽ cần tìm kiếm tệp có tên log4jv2*.jar ở bất kỳ đâu trên đĩa để chắc chắn. định vị sẽ làm điều này nếu cài đặt khác Sudo find / -iname log4j2*.jar.

Lưu ý rằng một số ứng dụng cũng đổi tên các tệp JAR log4j2.

Ngoài ra, xin lưu ý rằng kể từ hôm nay (2021-DEC-19), một lỗ hổng khác đã được tìm thấy với Log4J v2 có thể cho phép từ chối dịch vụ từ xa và tất cả những người đã vá cho v2.16 giờ đây nên vá cho v2.17.

https://logging.Apache.org/log4j/2.x/security.html#CVE-2021-45105