Afbødning af Apache Log4j sårbarhed CVE-2021-44228

SENDT AF Zevenet | 15. december 2021

Hvad er Log4j?

log4j er et open source Java-bibliotek til logningsfunktioner udviklet og udgivet af Apache Foundation gruppe. Et sådant bibliotek bruges som afhængighed af mange applikationer og tjenester, der bruges globalt i Java-applikationer, da det er inkluderet i flere Apache Frameworks ligesom Apache Struts 2, Apache Solr, Apache Druid, Apache Flink og Apache Swift, men også, brugt af Netty, MyBatis og Spring Framework.

Hvad handler Log4j-sårbarheden om?

En applikation er sårbar, hvis den sender et ikke-valideret brugerinput til Log4j-logbiblioteket for de berørte versioner. Log4j-sårbarheden gør det muligt at udføre fjernkode uden godkendelse fra version 2.0-beta9 til 2.14.1. Nedenfor er forklaret, hvordan Log4j-sårbarheden udnyttes.

Prioriterede handlinger til Log4j-reduktion

Installer de seneste opdateringer, hvor Log4j-forekomster er kendt. Første trin er at opdage eventuelle Log4j-forekomster i din organisation og anvende de seneste opdateringer fra officielle arkiver.

Anvend WAF-politikregler for at beskytte dine implementerede applikationer. Brug af webapplikationsfirewalls i din organisation kan forbedre overvågningen og blokeringen af ​​udnyttelsen af ​​denne sårbarhed. Bare sørg for at blokere forespørgsler, hvor URL'erne indeholder strenge som "jndi:ldap". Bemærk venligst, at varianter kan omgå de nuværende WAF-regler eller applikationer, hvor en sådan LDAP-funktion bruges, kan ikke være brugbare. Sørg for at få dem opdateret.

Overvej venligst at bruge ZEVENET som Web Application Firewall til Log4j-reduktion.

Er ZEVENET påvirket af Log4j-sårbarheden?

ZEVENET apparater eller offentlige tjenester er ikke berørt da Apache-frameworks ikke bliver brugt.

Sådan beskytter jeg mine applikationer mod Log4j-sårbarhed med ZEVENET Web Application Firewall

Når en virtuel tjeneste eller farm til vores applikation er oprettet, skal du anvende følgende trin for at oprette WAF-reglen:

Opret et nyt regelsæt
Opret en ny Handling regel i det nye regelsæt. Regelkonfigurationen skal være:

     Løsning: Afvis (Klip anmodningen og udfør ikke regler tilbage)
     Fase: Anmodningsoverskrifter modtages

Opret en betingelse i reglen med følgende konfiguration:

     Variabler: REQUEST_URI, REQUEST_HEADERS
     Transformationer: små bogstaver, urlDecodeUni
     Operatør: strIndeholder
     Betjening: jndi:ldap

Til sidst skal du starte regelsættet og anvende det på de ønskede gårde.

Bemærk, at med dette regelsæt vil hver HTTP-anmodning, hvor URL'erne og overskrifterne vil blive analyseret på udkig efter den sårbare streng.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler