主页 / computer / 问题 / 1693184
Accepted
Vijaymahantesh Sattigeri
Asked: 2021-12-16 00:02:16 +0800 CST

我的系统是否容易受到 Log4Shell 漏洞的影响?

  • 772

我是 Windows 11 的最终用户。我没有安装 JDK 或 JRE。我的机器容易受到 log4j 攻击吗?如果是这样,如何利用呢?

java logging

4 个回答

  1. Best Answer

    如果您不运行任何使用 Java 的软件,那您很好(至少对于此漏洞利用而言)。

    但是请记住,有很多东西在底层使用 Java,同时拥有一个本地编译的应用程序来启动东西并拥有一个嵌入式 JVM。这些可能会受到影响。例如 Jetbrains CLion 和 PyCharm,它们都是 Java 应用程序。

    当然,唯一容易受到实际攻击的应用程序是那些可以从 Internet 访问的应用程序(或由网络上的活跃入侵者访问的应用程序,在这种情况下,您会遇到更大的问题。

    前面提到的 Jetbrains 产品不在其中,它们只是在最终用户甚至可能不知道的情况下在水下运行 Java 的示例。他们也不依赖 Log4J2,他们在内部使用了另一种日志记录解决方案。

    如果您运行的是 Jira 或 Confluence 或其他类似的产品,您可能很容易受到攻击,应该与您的供应商核实。

    • 2

  2. 事实证明,这并不是那么容易确定的。有很多系统和应用程序都包含了 Log4j2 服务。当前已知受影响、未受影响或正在调查的系统列表位于https://github.com/cisagov/log4j-affected-db#software-list

    • 0

  3. 更新:2021-12-18...

    请记住始终从下面列出的资源中查看最新信息

    CVE-2021-45105 ... 2.16.0 和 2.12.2 不再是有效的补救措施!当前的修复版本是 2.17.0 (Java 8) 和 2.12.3 (Java 7)。所有其他 Java 版本都必须采取权宜之计(从 log4j-core JAR 中删除/删除 JndiLookup.class 文件。
    我已相应地更新了下面的消息。

    直接回答问题:
    转到Reddit 线程:log4j_0day_being_exploitedcntl+ fforVendor Advisories并搜索这些列表以查看您是否使用任何该软件。如果您这样做并且有可用更新,请更新它。

    然后转到同一个网站,然后 从那里列出的 repo中运行程序cntl+ 。如果它发现任何东西,请修复它。f.class and .jar recursive hunters

    补救措施:
    CVE-2021-45046 ... CVE-2021-44228 ... CVE-2021-45105
    虽然大多数需要知道的人可能已经足够了解他们需要做的事情,但我想我还是会把这个如果...

    • 遵循这些资源中的指导......它可能会改变,但是

    截至 2021 年 12 月 18 日

    基本上是

    • 如果可能,删除 log4j-core JAR 文件
      • 从两台正在运行的机器上立即修复和
      • 在您的源代码/源代码管理文件中,以防止将来的构建/发布/部署覆盖更改
    • 如果这是不可能的(由于依赖),请升级它们
      • 如果你运行的是 Java8,那么你可以升级到 log4j 2.17.0+
      • 如果您运行的是早期版本的 Java,那么您可以升级到 log4j 2.12.3
      • 如果您运行的是旧版本的 Java,那么您需要升级到最新版本的 Java,然后使用最新版本的 Log4J
      • 同样,这些更改必须同时发生在正在运行的机器和代码中
    • 如果由于某种原因这些都不可能……那么从 log4j-core JAR 中删除 JndiLookup.class 文件是非补救性的。
      • zip默认情况下,使用大多数 Linux 发行版附带 的命令,在 Linux 上有一个止损选项的单线。
        • zip -q -d "$LOG4J_JAR_PATH" org/apache/logging/log4j/core/lookup/JndiLookup.class
      • 在撰写本文时,Windows 上的权宜之计选项的大多数在线指南都说要执行以下操作(再次...假设您无法执行上述删除 JAR 或升级选项之一):
        • 安装类似 7-zip 的东西
        • 找到所有 log4j-core JAR 文件,并为每个文件执行以下操作...
        • 重命名 JAR 以将扩展名更改为.zip
        • 使用 7-zip 解压 JAR(现在有.zip扩展名)
        • 从解压缩的文件夹中找到并删除 JndiLookup.class 文件
          • 路径是\\path\\to\\unzippedFolder\\org\\apache\\logging\\log4j\\core\\lookup\\JndiLookup.class
        • 删除旧的 JAR 文件(现在扩展名为 .zip)
        • 使用 7-zip 重新压缩文件夹
        • 重命名新的 .zip 文件夹以将扩展名更改为.jar
      • 还有一些使用 Power Shell 的选项

    如果您只有 1 或 2 个 JAR 文件要处理并且您不介意安装 7-zip 或者您有 PowerShell 可用,这很好。但是,如果您有很多 JAR 文件,或者您不想安装 7-zip 并且无权访问 Power Shell,我创建了一个开源 VBS 脚本,无需安装即可为您完成任何附加软件。https://github.com/CrazyKidJack/Windowslog4jClassRemover

    阅读自述文件和发行说明https://github.com/CrazyKidJack/Windowslog4jClassRemover/releases/latest

    • 0

  4. Computerphile 对漏洞利用的很好解释。 https://www.youtube.com/watch?v=Opqgwn8TdlM

    • 0

相关问题