Log4Shell是什么?从Log4j漏洞说起

创提信息
2022/01/04

分享到

在开源Apache日志记录库Log4j中已发现了一个影响使用Java的设备和应用程序的新漏洞。该漏洞被称为Log4Shell,是目前互联网上最重大的安全漏洞,其严重程度为10分(满分10分),其影响有愈演愈烈之势。幸运的是,Perforce静态分析和SAST工具——Helix QACKlocwork——可以提供帮助。

 
在这里,我们将解释Log4j漏洞是什么,提供一个Log4j示例,并解释像Klocwork这样的SAST工具如何帮助预防和检测如Log4Shell这样的漏洞。本文将包含如下内容:
 
     • Log4j是什么?
 
     • Log4Shell是什么:从Log4j漏洞说起
 
     • 哪些设备和应用程序容易受到Log4Shell的攻击?
 
     • Klocwork如何检测Log4j漏洞
 
     • 如何使用Klocwork防止Log4j漏洞


Log4j是什么?
 
Log4j是一个Java库,用于在企业应用程序(其中包括自定义应用程序、网络和许多云计算服务)中记录错误日志。
 
并且,在过去十年里为服务器和客户端应用程序开发的Java程序中,有很大一部分都使用了Log4j。


Log4Shell是什么:从Log4j漏洞说起
 
Log4Shell,又称为CVE-2021-4428,是一种影响Apache Log4j2核心功能的高严重性漏洞。该漏洞使攻击者能够实现远程代码执行。这使他们能够:
 
     • 通过受影响的设备或应用程序访问整个网络
 
     • 运行任意代码
 
     • 访问受影响的设备或应用程序上的所有数据
 
     • 删除或加密文件
 
受影响的版本,Log4j版本2 (Log4j2),包含在:
 
     • Apache Struts2
 
     • Apache Solr
 
     • Apache Druid
 
     • Apache Flink
 
     • ElasticSearch
 
     • Flume
 
     • Apache Dubbo
 
     • Logstash
 
     • Kafka
 
     • Spring-Boot-starter-log4j2
 
     • Swift frameworks


哪些设备和应用程序容易受到Log4Shell的攻击?
 
如果连接到互联网的设备运行Apache Log4j 2.0-2.14.1版本,那么它们很容易受到Log4Shell的攻击。
 
如何检测和预防最常见的软件安全漏洞

 
Log4Shell只是众多潜在的安全漏洞之一。那么我们应该如何有效检测和解决最常见的安全漏洞?


Klocwork如何检测Log4j漏洞
 
作为一个静态分析和SAST工具,Klocwork会检查您的源代码,找出可能会让您的设备或应用程序受到攻击的设计和编码缺陷,比如受污染的数据问题。Klocwork可以沿着代码中所有可能的执行路径跟踪受污染的、不受信任的或其他可疑的数据,包括Log4Shell (CVE-2021-4428)。
 
Klocwork的SV.LOG_FORGING检查项可以“开箱即用”,能够检测被传到日志记录程序中的受污染的数据。从Perforce Support处获取的一个小小的配置文件可扩展该检查项来检测Log4j漏洞。
 
此外,Klocwork还与Secure Code Warrior进行了集成,这有助于为这些类型的缺陷提供修复指导,并且提供额外的软件安全培训。Secure Code Warrior高亮显示了安全漏洞,并提供了如何修复这些错误的指导。


如何使用Klocwork防止Log4j漏洞
 
现在您已经更好地理解了Log4j漏洞是什么以及Klocwork如何识别它,下面是一个Log4j示例。此外,我们还提供了一个详细的指南,以演示Klocwork如何帮助您检测和修复这个严重的漏洞。
 
1. 使用Klocwork SV.LOG_FORGING检查项
 
要使用Klocwork的SV.LOG_FORGING检查项:请转到该应用程序的Klocwork Portal项目,添加配置文件,并确认SV.LOG_FORGING检查项已启用。
 
该扩展将Log4j方法添加到SV.LOG_FORGING的受污染数据的危险目的地列表中。这使您能够识别Log4j漏洞——Log4Shell。
 
2. 定位Log4j漏洞
 
一旦整个应用程序集成分析完成,任何错误或漏洞都会被高亮显示。
 
下面的序列高亮显示了日志伪造是如何实现的,并使攻击者能够利用日志记录来操纵它们:


Log4Shell是什么--从Log4j漏洞说起-1.jpg

 
一旦分析完成,Klocwork将在第5行报告漏洞。


3. 防止Log4j漏洞缺陷
 
Apache已经发布了Log4j 2.16的新版本,该版本不包含Log4Shell漏洞。
 
此外,如果您无法更新到最新版本,Apache也提供了解决方案来缓解Log4j漏洞。
 
In releases >=2.10, this behavior can be mitigated by setting either the system property log4j2.formatMsgNoLookups or the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true.
 
For releases from 2.0-beta9 to 2.10.0, the mitigation is to remove the JndiLookup class from the classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.


使用Klocwork阻止Log4Shell等漏洞
 
Log4Shell是一个值得关注的软件安全漏洞——不幸的是,它不是唯一一个。它只是CWE-117和OWASP A10:2017所强调的众多类型的安全漏洞的一个示例。
 
通过使用SAST工具(如Klocwork),您可以轻松地执行软件安全标准(如CWE、OWASP和CERT),以更好地检测、预防和消除软件安全漏洞(如Log4Shell)。
 
若想亲自体验Klocwork如何简单地通过尽早识别漏洞来保护您的软件,今天就点击网页右上角注册申请免费试用吧。