开源 Log4j 扫描器能够解救这全日

时间:2022-07-07 09:12:33来源:od体育网页版 作者:od体育网页版登录

  多位搜集安宁专家现已宣告免费操纵的扫描秩序,以帮帮构造查找易受攻击的 Log4j 实例。

  比方,搜集安宁和基本办法安宁体 (CISA)正在 GitHub 上宣告了一个 Log4j 扫描器,它基于安宁公司 FullHunt 修建的先前版本。

  Crowdstrike 的搜集安宁专家也宣告了一款名为 CAST 的犹如扫描仪。

  安宁公司 Rezilion 的商量主管 Yotam Perkal 了解了这些东西并正在博客作品中宣告告终果。按照 Perkal 的说法,很多扫描秩序错过了该缺欠的某些版本。

  “最大的挑拨正在于正在分娩情况中检测打包软件中的 Log4Shell:Java 文献(比方 Log4j)可能嵌套正在其他文献的几层深处——这意味着对文献的浅层搜罗不会找到它,”写道珀卡尔。“其余,它们能够以多种分歧的花式打包,这对正在其他 Java 包中发掘它们酿成了真正的挑拨。”

  Perkal 总共测试了 9 个扫描器,固然此中少少扫描器的机能优于其他扫描器,但没有一个可能识别全部易受攻击的 Log4j 计划。

  “这也指示咱们,检测才略取决于您的检测手法。扫描仪有盲点,”Perkal 总结道。“安宁携带者不行盲目地假设百般开源乃至贸易级东西都可能检测到每一个边沿情形。而正在 Log4j 的情形下,良多地方都有良多边沿实例。”

  Log4j 是一个 Java 记实器,迩来浮现它存正在一个主要缺陷,它能够承诺恶意活动者(假使是那些技巧很少的人)正在数百万个端点上运转苟且代码,并推出恶意软件、敲诈软件和加密矿工。

  进一步考查浮现,被称为该缺陷的 Log4Shell 是近代汗青上最主要的安宁缺欠之一。CISA 主任 Jen Easterly 将其描绘为她正在所有职业生计中所见过的“最主要的事变之一”,“借使不是最主要的”。

  到目前为止,Apache自愿现该缺欠以后仍然为Log4j起码宣告了三个补丁,并鞭策用户立时更新。