Как проверить уязвимость в Apache log4j?
admin изменил статус на опубликованный 24.12.2021
Уязвимость Log4j носит еще одно название – Log4Shell, а при отслеживании диагностируется в качестве CVE-2021-44228. Суть сводится к предоставлению злоумышленнику права запускать любой код в операционной системе.
Существует несколько способов выявления уязвимости:
- Через Maven Dependency Plugin. Для этого нужно ввести команду «mvn dependency:tree -Dincludes=org.apache.logging.log4j:log4j-core» и выполнить ее. В итоге будет отображено дерево зависимостей. Благодаря наличию дополнительного параметра – includes – на экране появятся только связи, касающиеся log4-core.
- Через Maven Help Plugin. Введя команду «mvn help:effective-pom | grep log» для macOS или «mvn help:effective-pom | findstr log» для Windows, проверяете наличие уязвимости в POM и фреймворке ведения журнала.
- Посредством Syft и Grype. Подходит способ для проектов, имеющих много архивных файлов. Средства позволяют обнаружить уязвимости в образах JAR и файловой системе вне зависимости от уровня вложенности.
- Инструмент от LunaSec. Сканирует каталоги и находит файлы, подверженные Log4j.
- Инструмент log4j-scan для сканирования наличия уязвимых хостов.
- Тестер Huntress Log4Shell. Показывает применяет ли программа уязвимую версию Log4j.
Виолетта Филиппова ответил на вопрос 23.12.2021
Напишите свой ответ.