盗墓笔记全集,重生之毒妃梅果小说,小说网

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

面對(duì)Log4j漏洞，開(kāi)發(fā)者如何保護(hù)程序安全？

???

創(chuàng)新互聯(lián)建站制作網(wǎng)站網(wǎng)頁(yè)找三站合一網(wǎng)站制作公司,專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì),成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè),網(wǎng)站設(shè)計(jì),企業(yè)網(wǎng)站搭建,網(wǎng)站開(kāi)發(fā),建網(wǎng)站業(yè)務(wù),680元做網(wǎng)站,已為1000多家服務(wù),創(chuàng)新互聯(lián)建站網(wǎng)站建設(shè)將一如既往的為我們的客戶(hù)提供最優(yōu)質(zhì)的網(wǎng)站建設(shè)、網(wǎng)絡(luò)營(yíng)銷(xiāo)推廣服務(wù)!

正如 Cloudflare 首席技術(shù)官John Graham-Cumming所說(shuō)："這可能是自 Heartbleed 和 ShellShock 以來(lái)互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一。"

加固第一道防線(xiàn)

在漏洞被公布之后，開(kāi)發(fā)人員和維護(hù)人員立即著手給他們的 Java 應(yīng)用程序打上盡可能多的補(bǔ)丁。由16名無(wú)報(bào)酬志愿者組成的 Apache 軟件基金會(huì)日志服務(wù)團(tuán)隊(duì)也第一時(shí)間加固 Log4j 本身。

北京時(shí)間11月24日，Apache日志服務(wù)項(xiàng)目管理委員會(huì)（PMC）收到了一封爆炸性的郵件。阿里云安全團(tuán)隊(duì)報(bào)告了Log4j2 軟件中存在一個(gè)零日安全漏洞。

軟件工程師、PMC 成員 Gary Gregory 表示：“這將是一個(gè)重大的問(wèn)題?！?/p>

該團(tuán)隊(duì)立刻開(kāi)始修補(bǔ)這個(gè)問(wèn)題，但這個(gè)漏洞在12月9日被公之于眾后，他們的時(shí)間安排迅速加快了。

Gary和其他維護(hù)者放下手上的工作，加班加點(diǎn)來(lái)修復(fù)這個(gè)漏洞問(wèn)題。在發(fā)布 2.15 版更新之前，他們很快決定這個(gè)更新“不夠好”，隨后，他們?cè)诟窳帜嶂螛?biāo)準(zhǔn)時(shí)間12月13日晚上10點(diǎn)28分發(fā)布了2.16版本。

"我知道他們都有家庭和他們必須做的事情。但他們把一切都放在一邊，整個(gè)周末都在修復(fù)這個(gè)漏洞。"前 Log4j 開(kāi)發(fā)者 Christian Grobmeier 告訴彭博社。

到周末的這個(gè)時(shí)候，PMC的活躍成員已經(jīng)轉(zhuǎn)向通過(guò)私人Slack頻道進(jìn)行溝通，在那里他們繼續(xù)解決這個(gè)問(wèn)題，并共同努力為操作舊版本 Java 的用戶(hù)提供更新。他們很快就發(fā)布了 2.12.2 版本來(lái)解決 Java7 用戶(hù)的問(wèn)題。Java6 的修復(fù)被證明更棘手，但這是他們的下一個(gè)待辦事項(xiàng)。

“總的來(lái)說(shuō)，我認(rèn)為盡管這種漏洞會(huì)帶來(lái)可怕的后果，但事情進(jìn)展得如經(jīng)驗(yàn)豐富的開(kāi)發(fā)人員所預(yù)料的那樣，” Gary 說(shuō)?！拔覀兪盏酵ㄖ?，迅速提供了補(bǔ)丁并在該版本上進(jìn)行迭代。

構(gòu)建熱補(bǔ)丁和緊急指導(dǎo)

另一個(gè)在周末迅速行動(dòng)的小組是亞馬遜 Corretto 團(tuán)隊(duì)。Corretto 是 Open Java Development Kit (OpenJDK) 的一個(gè)發(fā)行版，這使 Corretto 團(tuán)隊(duì)處于Log4Shell問(wèn)題的第一線(xiàn)。

在首席軟件工程師Volker Simonis的帶領(lǐng)下，Corretto團(tuán)隊(duì)迅速建立并開(kāi)源了一個(gè)熱補(bǔ)丁，供任何無(wú)法立即更新的組織使用。

正如GitHub頁(yè)面上所描述的那樣：

這是一個(gè)將 Java 代理注入運(yùn)行中的 JVM 進(jìn)程的工具。該代理將嘗試修補(bǔ)所有加載的 org.apache.logging.log4j.core.lookup.JndiLookup實(shí)例的lookup()方法，無(wú)條件地返回字符串 "Patched JndiLookup::lookup()"。
該熱補(bǔ)丁旨在解決Log4j中的 CVE-2021-44228 遠(yuǎn)程代碼執(zhí)行漏洞，無(wú)需重啟Java進(jìn)程。據(jù)了解，動(dòng)態(tài)和靜態(tài)代理在Linux的JDK 8和JDK 11上運(yùn)行，而在JDK 17上只有靜態(tài)代理在工作。

"非常感謝亞馬遜Corretto團(tuán)隊(duì)花了幾天、幾夜和周末的時(shí)間來(lái)編寫(xiě)、加固和運(yùn)行這段代碼，"AWS CISO Steve Schmidt在一篇博文中寫(xiě)道。AWS還發(fā)布了一份針對(duì)受影響產(chǎn)品的特定服務(wù)安全更新的詳盡清單。

在其他地方，由 Java 首席工程組經(jīng)理 Martijn Verburg 領(lǐng)導(dǎo)的 Microsoft Java 團(tuán)隊(duì)成員幫助評(píng)估了該補(bǔ)丁，并為客戶(hù)發(fā)布了更一般的保護(hù)自己的建議，包括幾個(gè)推薦的解決方法，直到可以應(yīng)用完整的安全更新.

谷歌云以更新其Cloud Armor安全產(chǎn)品作為回應(yīng)，該產(chǎn)品于 12 月 11 日發(fā)布了一項(xiàng)緊急 Web 應(yīng)用程序防火墻 (WAF) 規(guī)則，以幫助檢測(cè)和阻止 CVE-2021-44228 的企圖利用。

“為了幫助我們的客戶(hù)解決 Log4j 漏洞，我們引入了一個(gè)名為“cve-canary”的新預(yù)配置 WAF 規(guī)則，它可以幫助檢測(cè)和阻止 CVE-2021-44228 的漏洞利用嘗試，”Cloud Armor的產(chǎn)品經(jīng)理Emil Kiner和谷歌的網(wǎng)絡(luò)專(zhuān)家經(jīng)理 Dave Reisfeld 在一篇博文中寫(xiě)道。

你可以做什么？

當(dāng)這些內(nèi)部開(kāi)發(fā)人員匆匆忙忙為客戶(hù)保護(hù)他們的軟件時(shí)，許多最終用戶(hù)和企業(yè)開(kāi)發(fā)人員正爭(zhēng)先恐后地評(píng)估他們的漏洞并保護(hù)他們自己的Java應(yīng)用程序。

首先要做的是檢測(cè)Log4j是否存在于你的應(yīng)用程序中。同樣重要的是要注意，不是所有的應(yīng)用程序都會(huì)受到這個(gè)漏洞的攻擊。任何使用高于6u212、7u202、8u192或11.0.2的Java版本的人都應(yīng)該是安全的，因?yàn)檫@些版本中增加了對(duì)JNDI（Java命名和目錄接口）遠(yuǎn)程類(lèi)加載的保護(hù)。

同樣，高于2.10版本的 Log4j 用戶(hù)應(yīng)該通過(guò)設(shè)置系統(tǒng)屬性formatMsgNoLookups為true，設(shè)置JVM 參數(shù)-Dlog4j2.formatMsgNoLookups=true，或從classpath中刪除JndiLookup類(lèi)來(lái)緩解這一問(wèn)題。

由于Log4j漏洞不僅影響Java應(yīng)用程序，而且還影響使用該庫(kù)的任何服務(wù)，因此Log4Shell的攻擊面可能非常大。

正如Lucian Constantin為CSO寫(xiě)的那樣："社區(qū)仍在努力評(píng)估攻擊面，但由于依賴(lài)關(guān)系的復(fù)雜生態(tài)系統(tǒng)，它可能是巨大的。一些受影響的組件是非常流行的，被數(shù)以百萬(wàn)計(jì)的企業(yè)應(yīng)用和服務(wù)所使用"。

就其本身而言，Apache Logging Services團(tuán)隊(duì)將 "繼續(xù)評(píng)估可能存在潛在安全風(fēng)險(xiǎn)的Log4j功能，并將進(jìn)行必要的修改以刪除這些功能。Apache Logging Services團(tuán)隊(duì)的成員Ralph Goers告訴InfoWorld，"雖然我們將盡一切努力保持向后兼容，但這可能意味著我們必須禁用他們可能正在使用的功能。

即使無(wú)數(shù)的開(kāi)發(fā)者在周末不知疲倦地修補(bǔ)Log4j的漏洞，也會(huì)有很多人反應(yīng)較慢。因此，Log4Shell的影響可能是長(zhǎng)期和廣泛的。

正如安全分析師Tony Robinson在推特上所說(shuō)。"雖然那些好的公司通過(guò)打補(bǔ)丁迅速解決了問(wèn)題，但還是會(huì)有很多地方不會(huì)打補(bǔ)丁，或者在一段時(shí)間內(nèi)無(wú)法打補(bǔ)丁。"

【譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為.com】

新聞名稱(chēng)：面對(duì)Log4j漏洞，開(kāi)發(fā)者如何保護(hù)程序安全？
網(wǎng)頁(yè)路徑：http://www.fisionsoft.com.cn/article/dpsdihp.html

新聞中心

加固第一道防線(xiàn)

構(gòu)建熱補(bǔ)丁和緊急指導(dǎo)

你可以做什么？

其他資訊

你可以做什么？