Log4j是一个严重的漏洞,已经迅速席卷了整个IT领域。这里有一个单一的命令,你可以运行它来测试,看看你是否安装了任何有漏洞的软件包。
这个漏洞的最高CVSS评分为10.0,所以你需要注意。其中一个大问题是知道你是否有漏洞。由于Log4j的部署方式很多,这就很复杂了。你是否把它作为Java项目的一部分,它是否被卷进了一个容器,你是否用你的分发包管理器安装了它,(如果是)你安装了哪些log4j包?或者你是从源码安装的?正因为如此,你甚至可能不知道你的服务器是否有漏洞。
幸运的是,对于Linux服务器,GitHub用户Rubo77创建了一个脚本,可以检查是否有包含有漏洞的Log4j实例的软件包。它还处于测试阶段,并不是100%的,但它是一个很好的开始。要知道,这个脚本并不测试与应用程序一起打包的jar文件,所以不要认为它只是一个启动点来开始你的取证工作。
我在一台我知道安装了有漏洞的Log4j包的服务器上测试了这个脚本,它正确地标记了它。下面是你如何在你的Linux服务器上运行同样的脚本,以找出你是否可能有漏洞。登录到你的服务器,发出命令:
wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O - | bash
该命令的输出将给你一些迹象,表明你的服务器是否有漏洞。正如你所看到的(图),我的实例包括liblog4j2-java的2.11.2-1版本,其中包括该漏洞。在这种情况下,我应该立即升级到2.15.0。如果没有这个版本,问题就会一直存在,直到该软件包被修补。
记住,这个脚本不是一个保证,而是一个好的开始。即使它回来说你的服务器没有漏洞,也要继续挖掘,确保你已经更新了所有必要的软件包,以避免被这个漏洞击中。
原文地址:https://www.techrepublic.com/article/how-to-test-if-your-linux-server-is-vulnerable-to-log4j/
