本文介紹了如何緩解ApacheLog4j反序列化RCE(CVE-2019-17571)的處理方法,對(duì)大家解決問(wèn)題具有一定的參考價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)吧!
問(wèn)題描述
我已將我的log4j-core依賴項(xiàng)升級(jí)到2.15.0,以防止任何潛在的Log4Shell攻擊。也就是說(shuō),我無(wú)法將slf4j-log4j12的間接log4j依賴從1.2.17升級(jí),因?yàn)閟lf4j-log4j12的最新穩(wěn)定版本仍然依賴于log4j 1.2.17。如果我沒(méi)有弄錯(cuò)的話,這仍然使我的Web應(yīng)用程序容易受到CVE-2019-17571的攻擊。因此,在閱讀有關(guān)可能的緩解策略的文章時(shí),我看到了article,它建議:
阻止Log4j中的SocketServer類啟用的套接字端口
向公網(wǎng)開(kāi)放
誰(shuí)能向我解釋一下如何實(shí)現(xiàn)這一點(diǎn),以及此解決方法是否足夠?
推薦答案
只有從其他服務(wù)器接收消息的服務(wù)器才容易受到CVE-2019-17571的攻擊。基本上,觸發(fā)該漏洞的唯一方法是運(yùn)行:
java -jar log4j.jar org.apache.log4j.net.SocketServer <port> <config.properties> <log/directory>
或在代碼中執(zhí)行相同的操作。因此,大多數(shù)Log4j 1.2用戶不會(huì)受到攻擊。
不過(guò),在您的情況下,您只需將slf4j-log4j12綁定替換為其等價(jià)物L(fēng)og4j 2.x(log4j-slf4j-impl),即可完全刪除Log4j 1.2。
編輯:不過(guò),如果您想確保沒(méi)有人會(huì)如上所述地使用庫(kù),您可以刪除該類。還考慮到CVE-2021-4104此金額為:
zip -d log4j.jar org/apache/log4j/net/SocketServer.class
zip -d log4j.jar org/apache/log4j/net/JMSAppender.class
這篇關(guān)于如何緩解ApacheLog4j反序列化RCE(CVE-2019-17571)的文章就介紹到這了,希望我們推薦的答案對(duì)大家有所幫助,
