Как проверить, установлен ли Log4j на моем сервере?

Я читал об уязвимостях безопасности, связанных с Log4j.

Как проверить, установлен ли Log4j на моем сервере? Мои конкретные серверы используют Убунту 18.04.6 ЛТС.

Я установил много сторонних пакетов и, возможно, некоторые из них содержат его.

Есть ли команда для запуска на моем сервере, чтобы проверить, установлен ли Log4j?

Нет такой команды, которая наверняка вам это скажет. Некоторые приложения поставляют библиотеки, которые они используют, непосредственно в виде jar-файла, некоторые содержат их в архиве.

И даже тогда вы не знаете, какая версия поставляется и как она используется. Единственный способ защититься от CVE — прочитать объявления о безопасности и примечания к выпуску ваших приложений и следовать их рекомендациям.

Попробуйте эти команды:

• дпкг -л | grep liblog4j

• дпкг -л | grep log4

• найти / -имя log4j-core-*.jar

• найти log4j | grep -v log4js

Я написал этот скрипт Python, чтобы найти уязвимые версии Log4j2 в вашей системе: https://github.com/fox-it/log4j-finder

Он работает путем рекурсивного сканирования диска и внутри файлов Java Archive и поиска известных плохих файлов.

log4jscanner

Log4jscanner, опубликованный Google под лицензией Apache-2.0, представляет собой сканер уязвимостей файловой системы log4j и пакет Go для анализа файлов JAR.

Приносим извинения за ссылку на сторонний материал, я надеюсь, что это будет терпимо в нынешних обстоятельствах.

Информация Lunasec.io о хэшах уязвимых бинарных файлов Java .class:

https://github.com/lunasec-io/lunasec/blob/master/tools/log4shell/constants/vulnerablehashes.go

Также см. их блог: https://www.lunasec.io/docs/blog/log4j-zero-day-mitigation-guide/

Если у вас есть приказал хэши (по одному на строку) подозрительных классов в файле хеши и есть файл jar тема.jar и иметь распаковать, найти и ша256сум команды, то вы можете выполнить сравнение с известными хэшами с помощью:

JARFILE=subject.jar; DIROUT=$(mktemp -d); unzip -qq -DD "$JARFILE" '*.class' -d "$DIROUT" && find "$DIROUT" -type f -not -name "*"$'\n'"*" -name '*.class ' -exec sha256sum "{}" \; | вырезать -d" " -f1 | сортировать | uniq > "$JARFILE"-хэши; rm -rf -- "$DIROUT"

comm -12 хэшей subject.jar-хэши

Если связь имеет выход, то есть соответствующий хэш.

Пытаться Сифт. Он создает спецификацию программного обеспечения (SBOM), в которой вы затем можете искать старые версии log4j (даже работает с образами докеров).

Что-то вроде syft dir:/opt/foo-application | grep log4j поиск в обычных развертываниях. syft каталог:/ | grep log4j должен работать для всего вашего сервера.

Передача образов докеров также работает:

# syft -q jacobalberty/unifi:5.13.29 | grep log4j
log4j-api 2.12.1 java-архив
log4j-core 2.12.1 java-архив
log4j-slf4j-impl 2.12.1 java-архив
tomcat-embed-logging-log4j 8.5.2 java-архив

Создание скрипта для передачи всех ваших образов docker в syft не должно быть слишком сложным, но вы можете найти вдохновение в этих моих скриптах: https://github.com/debuglevel/syft-grype-utils

Джон Хаммонд опубликовал вместе с некоторыми другими размещенную службу перенаправления LDAP, так что вы можете пропустить все махинации. https://log4shell.huntress.com/

Направления просты - он генерирует для вас идентификатор клиента (он находится в URL-адресе, а также является частью строки инъекции), который вы можете опубликовать в любой форме/запросе/или производной от веб-запроса.

Как правило, если вы используете что-то, что «не работает с этим, потому что это локальный доступ», тогда все в порядке, поскольку нет средств для пересылки через ваше приложение на основе Java.

Примечательно: я считаю, что основное внимание следует уделить аппаратному обеспечению управления сетью L2/L3; Особенно, если вы имеете дело с интернет-провайдером или ваш контент обслуживается через службу хостинга.

Все попытки здесь устранить уязвимости в log4j терпят неудачу. Вы не можете полагаться на найти команда, так как она просматривает только набор настроенных путей (/etc/updatedb.conf на Дебиан).

Программное обеспечение может устанавливаться в местах, не настроенных в обновленный b.conf и быть полностью пропущенным заданием cron, которое обновляет базу данных locate.

Кроме того, выясняется, что поставщики программного обеспечения (например, Эластичный) переупаковали уязвимый JndiLookup.class (например: elasticsearch-sql-cli-7.16.1.jar) в местах, которые ранее не были известны, что оставляет незавершенными решения, основанные на известных хэшах файлов, именах или путях.

@shodanshok здесь на правильном пути, но вместо того, чтобы явно искать log4j, необходимо просмотреть каждый «.jar» в системе.

Это более полное, требуется zip-пакет. и расширение ответа shodanshok. Это просто покажет места, где JndiLookup.класс код найден. Можно было бы добавить еще одну строку для устранения этих уязвимостей, но я бы предпочел оставить это на усмотрение администратора. Эластичная ссылка выше показывает, как:

для jar в $(find / -name '*.jar'); делать
   распаковать -l "$jar" | grep 'JndiLookup.class' &>/dev/null && echo "Найдена уязвимость в $jar"
сделано

Пример:

# для jar в $(find / -name '*.jar'); делать
> распаковать -l "$jar" | grep 'JndiLookup.class' &>/dev/null && echo "Найдена уязвимость в $jar"
> сделано
Найдена уязвимость в /usr/lib/unifi/lib/log4j-core-2.13.3.jar
Найдена уязвимость в файле /home/minecraft/.m2/repository/org/spigotmc/minecraft-server/1.15.2-SNAPSHOT/minecraft-server-1.15.2-SNAPSHOT.jar.
Найдена уязвимость в файле /home/minecraft/.m2/repository/org/spigotmc/minecraft-server/1.15.1-SNAPSHOT/minecraft-server-1.15.1-SNAPSHOT.jar.
...

Будьте осторожны при запуске этого в системе с смонтированными сетевыми файловыми системами, так как это может повлиять на производительность. В таких случаях вам нужно запускать команды на самом файловом сервере.

Проверка установленных пакетов недостаточна, т.к. log4j могут быть вручную установлены некоторыми другими приложениями.

Для серверов Linux я использую следующее: найти / -iname "*log4j*.jar"

Для серверов Windows можно использовать что-то подобное: каталог C:\*log4j*.jar /s (изменение С: к Д: и так далее для других дисков).

Имена файлов обычно показывают версию библиотеки, но для перепроверки вы можете открыть файл манифеста и прочитать поля версии/реализации.

Обратите внимание, что приведенное выше не достаточно поймать встроенный log4j (например: в других файлах jar). Для этого нужно найти соответствующую строку, но это довольно много времени и ресурсов, поэтому я предлагаю начать с поиска файлов в качестве первого (но неполного) шага.

lsof проверяет открытые файлы, размещенные пользователем Флориан Рот в Твиттере:

PS вспомогательный | egrep '[l]og4j'
lsof | grep log4j

также две другие команды, но это резидентные команды поиска в памяти.