Leevendused Apache Log4j haavatavuse CVE-2021-44228 jaoks

POSTITATUD 15. detsembril 2021

Mis on Log4j?

log4j on avatud lähtekoodiga Java teek logimisfunktsioonide jaoks, mille on välja töötanud ja välja andnud Apache Fond Grupp. Sellist teeki kasutatakse paljude Java-rakendustes ülemaailmselt kasutatavate rakenduste ja teenuste sõltuvusena, kuna see sisaldub mitmes Apache Frameworks nagu Apache Struts 2, Apache Solr, Apache Druid, Apache Flash ja Apache Swift, aga ka kasutatud Võrkjas, MyBatis ja Kevadraamatusse.

Milles seisneb Log4j haavatavus?

Rakendus on haavatav, kui see edastab mõjutatud versioonide Log4j logimisteeki valideerimata kasutajasisendi. Log4j haavatavus võimaldab käivitada kaugkoodi ilma versiooni autentimiseta 2.0-beeta9 et 2.14.1. Allpool selgitatakse, kuidas Log4j haavatavust ära kasutatakse.

Prioriteetsed toimingud Log4j leevendamiseks

Installige uusimad värskendused, kus on teada Log4j eksemplarid. Esimene samm on tuvastada oma organisatsioonis kõik Log4j eksemplarid ja rakendada ametlikest hoidlatest uusimad värskendused.

Rakendage oma juurutatud rakenduste kaitsmiseks WAF-i eeskirju. Veebirakenduste tulemüüride kasutamine teie organisatsioonis võib parandada selle haavatavuse jälgimist ja selle ärakasutamise blokeerimist. Lihtsalt veenduge, et blokeerite päringud, mille URL-id sisaldavad stringe, näiteks "jndi:ldap". Pange tähele, et variandid võivad kehtivatest WAF-reeglitest mööda minna või rakendused, kus sellist LDAP-funktsiooni kasutatakse, ei pruugi olla kasutatavad. Veenduge, et neid värskendataks.

Kaaluge ZEVENETi kasutamist veebirakenduste tulemüürina Log4j leevendamiseks.

Kas Log4j haavatavus mõjutab ZEVENETit?

ZEVENETi seadmeid või avalikke teenuseid ei mõjuta kuna Apache raamistikke ei kasutata.

Kuidas kaitsta oma rakendusi Log4j haavatavuse eest ZEVENETi veebirakenduse tulemüüriga

Kui meie rakenduse jaoks on loodud virtuaalne teenus või farm, rakendage WAF-reegli loomiseks järgmisi samme.

Looge uus reeglistik
Loo uus tegevus reegel uues reeglistikus. Reegli konfiguratsioon peaks olema järgmine:

     Lahendus: keelduda (lõigake taotlus ja ärge täitke reegleid vasakule)
     Faas: päringu päised on vastu võetud

Looge reeglis tingimus järgmise konfiguratsiooniga:

     Muutujad: REQUEST_URI, REQUEST_HEADERS
     Teisendused: väiketähed, urlDecodeUni
     Operaator: strContains
     Töötab: jndi:ldap

Lõpuks käivitage reeglistik ja rakendage seda soovitud farmidele.

Pange tähele, et selle reeglistikuga analüüsitakse haavatavat stringi otsides iga HTTP-päringut, mille URL-id ja päised.

Jaga:

Dokumentatsioon GNU Vaba Dokumentatsiooni Litsentsi tingimustel.

Kas see artikkel oli kasulik?

seotud artiklid