この使いやすいスクリプトを使用して、Log4jの脆弱性を確認してください

JavaプロジェクトにLog4jの脆弱性がないかどうかわからない場合は、この使いやすいスキャンツールをすぐに試してみてください。

open source security — 画像：Shutterstock / LeoWolfert

Linuxとオープンソースコミュニティの素晴らしい点の1つは、脆弱性が検出されるとすぐに、開発者が問題を軽減するためのツールをリリースすることに熱心に取り組んでいることです。これは、Log4jの脆弱性の場合です。

この特定の問題は、非常に多くのサーバーとプロジェクトに影響を与えるため、非常に悪いものです。 Log4jの脆弱性の仕組みは次のとおりです。

Log4j2は、メッセージルックアップ置換と呼ばれるログ機能をサポートしています。これにより、ロギング中に、動的に生成された他の文字列に特別な文字列を置き換えることができます。
ルックアップメソッドの1つ(LDAPとペアになっているJNDI)は、リモートソースから特別なクラスをフェッチして逆シリアル化し、クラスコードの一部を実行します。
ログに記録された文字列の任意の部分が、リモートの攻撃者によって制御される可能性があります。

問題の一部は、Log4jが非常に多くのツールで使用されるJavaプロジェクトと依存関係に非常に深く埋め込まれていることです。したがって、サーバーのすべての脆弱性を見つけるのは難しい場合があります。

幸いなことに、これらの問題を見つけるために多くの努力が払われてきました。そのような取り組みの1つがLog4jDetectです。これは、開発プロジェクトをスキャンして、脆弱性がないことを確認します。

Log4jDetectスクリプトを使用してJavaプロジェクトをスキャンする方法を紹介します。

必要なもの

宛先このスクリプトを使用するには、Javaプロジェクトとsudo権限を持つユーザーが必要です。それでおしまい。仕事に取り掛かりましょう。このスクリプトは、Linux、macOS、およびWindowsで使用できます。 Linuxでデモンストレーションを行います(Ubuntuサーバー経由18。04)。

見る： Log4j：このセキュリティの脆弱性から身を守る方法(TechRepublic)

Log4j Detectをダウンロードしてインストールする方法

最初にLog4jDetectのインストールが行われます。これを行うには、Linuxサーバーにログインし、最初にシステムアーキテクチャを環境変数として次のように設定してスクリプトをダウンロードします：

ARCH = amd64

アーキテクチャがARMの場合、そのコマンドは次のようになります：

ARCH = arm64

次に、次のスクリプトをダウンロードします：

wget "https://github.com/whitesource /log4j-detect-distribution/releases/latest/download/log4j-detect-1.3.0-darwin-$ARCH.tar.gz "

次のコマンドでファイルを解凍します：

tar -xzvf log4j-detect-1.3.0-darwin- $ ARCH.tar.gz

ファイルに適切な権限を付与します：

chmod + x log4j-detect

移動次のコマンドを使用して/ usr / local / binにファイルします：

sudo mv log4j-detect / usr / local / bi n /

参照：パスワード違反：ポップカルチャーとパスワードが混ざらない理由(無料のPDF)(TechRepublic)

Log4j-detect

を使用してプロジェクトをスキャンする方法これで、インストールが完了しました。プロジェクトをスキャンしてLog4jの脆弱性を探しましょう。プロジェクトがJAVAWeb-Projectという名前のディレクトリに格納されているとします。そのディレクトリに移動し、次のコマンドを発行します：

log4j-detect scan

プロジェクトの規模にもよりますが、スキャンが完了するまでにそれほど時間はかかりません。その場合、問題があれば報告します(図A

)。

図A

GitHubで見つけたランダムなJavaプロジェクトでのLog4j-detectスキャンの結果

“href =” https://www.techrepublic.com/a/hub/i / r /2021/12/28/ a82825d8-e5ba-41af-8d9b-3f14b0cff7a9 / resize /770x / 7b04c82a4c818b7f867e15fa18cf20f / log4jdetecta.jpg “target =” _ blank “>

GitHub

(で見つけたランダムなJavaプロジェクトでのLog4j-detectスキャンの結果

ご覧のとおり、私がテストしたJavaプロジェクトには、対処する必要のあるLog4jの問題があります。スクリプトは、問題と問題を修正する方法を指摘します。すべてに対処したら、スクリプトを再度実行して、脆弱性が検出されなくなったかどうかを確認します。

これは、Log4j(および安全だと思われるもの)に対して脆弱である可能性があると思われるすべてのプロジェクトおよびサーバーに対して実行する必要があることを考慮する必要があります。これは、後悔するよりも確実に安全である1つのケースです。

Jack Wallenによるビジネスプロ向けの最新の技術アドバイスについては、TechRepublicの「YouTubeで技術を機能させる方法」を購読してください。

Cybersecurity Insider Newsletter

最新のサイバーセキュリティニュース、ソリューション、およびベストプラクティスに遅れないようにすることで、組織のITセキュリティ防御を強化します。火曜日と木曜日に配信

今日サインアップする

も参照してください

モバイルVPNアプリとは何ですか、なぜそれらを使用する必要があるのですか(TechRepublic Premium)

NISTサイバーセキュリティフレームワーク：専門家向けのチートシート(無料PDF)(TechRepublic)

重大なLog4Shellセキュリティの欠陥により、ハッカーは脆弱なサーバーを侵害できます(TechRepublic)

続きansomwareは、Log4Shellの脆弱性を悪用して数百万の規模に達しています(TechRepublic)

サイバーセキュリティとサイバー戦争：詳細必読の報道(FlipboardのTechRepublic)