あなたのmagentoでLog 4 J脆弱性を避ける方法
2802 ワード
どのようなLog 4 Jは、どのように確認するには、どのようにあなたのアドビコマースとMagentoオープンソースにこの攻撃を避けるために学ぶ.始める前に深く、これらは、この問題を避けるために次の緊急ステップです.
あなたのFASTまたはワニスでcustom VCL規則を加えてください.
あなたの弾力性を新しいバージョン(12月13日、2021)にアップグレードします.
この記事に記載の監査ツールを実行します.
これは、アプリケーション内のアクティビティのレコードを保持する開発者によって使用されるJavaのフレームワークです.ハッカーは、それを使用して傷を悪用するために使用されている戦略的に最終的にlog 4 jのバージョン2.0以上(CVE-2021-44228)によって記録される悪意のあるコード文字列を送信します.exploitは、攻撃者に任意のJavaコードをサーバー上にロードさせます.
あなたがAdobe Commerce Installationを持っているとき、この脆弱性をもたらすかもしれない最も可能なソフトウェアは弾性検索です.別のサーバーまたはコンテナでそれを持っているならば、あなたはそのサーバーを最初にチェックするかもしれません.
たとえば、Magemojo、Ecritel、WebScaleまたはプラットフォームをサポートしている場合.shは、できるだけ早くそれらに連絡してください.AWSまたはDigital Oceanであなた自身のサーバーを持って、あなたのサーバーがパッケージを更新したことを確認してください.あなたが持っている必要があるメイン更新パッケージは、弾性検索です.
お使いのサーバーを更新するには、あなたのmagentoも更新しておく必要があります、Magentoの最後の安定版は、PHPのような、サーバーのパッケージのバージョンと同様に、エラスティックサーチなど、あなたのアップグレードを計画していない場合、let’s create one for you.
エラスティックサーチ5、6または7を使用する場合は、今日起動されたバージョン(2021年12月13日)を使用するように更新する必要があります.あなたが弾力検索をアップグレードしている間、攻撃を緩和するために、以下のJVMオプションをセットする必要があります.
今のところ、確実に一般的なWAF規則をまだ配備していません、あなたがこれに対して緩和したいならば、ステージングとテストに関してthis VCLを展開して、それからprodに配備してください.
最も簡単な方法は以下のスクリプトを実行することです.サーバーに脆弱性がある場合は、Grypeという2番目のツールを実行することができます.
疑わしい名前でファイルを見つける
あなたのFASTまたはワニスでcustom VCL規則を加えてください.
あなたの弾力性を新しいバージョン(12月13日、2021)にアップグレードします.
この記事に記載の監査ツールを実行します.
log 4 jとは
これは、アプリケーション内のアクティビティのレコードを保持する開発者によって使用されるJavaのフレームワークです.ハッカーは、それを使用して傷を悪用するために使用されている戦略的に最終的にlog 4 jのバージョン2.0以上(CVE-2021-44228)によって記録される悪意のあるコード文字列を送信します.exploitは、攻撃者に任意のJavaコードをサーバー上にロードさせます.
マジェントlog 4 j
あなたがAdobe Commerce Installationを持っているとき、この脆弱性をもたらすかもしれない最も可能なソフトウェアは弾性検索です.別のサーバーまたはコンテナでそれを持っているならば、あなたはそのサーバーを最初にチェックするかもしれません.
たとえば、Magemojo、Ecritel、WebScaleまたはプラットフォームをサポートしている場合.shは、できるだけ早くそれらに連絡してください.AWSまたはDigital Oceanであなた自身のサーバーを持って、あなたのサーバーがパッケージを更新したことを確認してください.あなたが持っている必要があるメイン更新パッケージは、弾性検索です.
お使いのサーバーを更新するには、あなたのmagentoも更新しておく必要があります、Magentoの最後の安定版は、PHPのような、サーバーのパッケージのバージョンと同様に、エラスティックサーチなど、あなたのアップグレードを計画していない場合、let’s create one for you.
弾性検索
エラスティックサーチ5、6または7を使用する場合は、今日起動されたバージョン(2021年12月13日)を使用するように更新する必要があります.あなたが弾力検索をアップグレードしている間、攻撃を緩和するために、以下のJVMオプションをセットする必要があります.
-Dlog4j2.formatMsgNoLookups=true
絶え間なく
今のところ、確実に一般的なWAF規則をまだ配備していません、あなたがこれに対して緩和したいならば、ステージングとテストに関してthis VCLを展開して、それからprodに配備してください.
どのようにそれを検出するには?
最も簡単な方法は以下のスクリプトを実行することです.サーバーに脆弱性がある場合は、Grypeという2番目のツールを実行することができます.
自動チェック
wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O - |bash
または手動チェック
疑わしい名前でファイルを見つける
locate log4j|grep -v log4js;
インストールされていればlib log 4 jを探します.dpkg -l|grep log4j;
チェックされたフォルダのjar/war/earの場合、Javaがインストールされているかどうかを調べますwhich java
それをチェックしていただきありがとうございます.Reference
この問題について(あなたのmagentoでLog 4 J脆弱性を避ける方法), 我々は、より多くの情報をここで見つけました https://dev.to/rafaelcg/how-to-avoid-log4j-vulnerability-in-your-magento-3mg4テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol