あなたのmagentoでLog 4 J脆弱性を避ける方法

どのようなLog 4 Jは、どのように確認するには、どのようにあなたのアドビコマースとMagentoオープンソースにこの攻撃を避けるために学ぶ.始める前に深く、これらは、この問題を避けるために次の緊急ステップです.
あなたのFASTまたはワニスでcustom VCL規則を加えてください.
あなたの弾力性を新しいバージョン(12月13日、2021)にアップグレードします.
この記事に記載の監査ツールを実行します.

log 4 jとは

これは、アプリケーション内のアクティビティのレコードを保持する開発者によって使用されるJavaのフレームワークです.ハッカーは、それを使用して傷を悪用するために使用されている戦略的に最終的にlog 4 jのバージョン2.0以上(CVE-2021-44228)によって記録される悪意のあるコード文字列を送信します.exploitは、攻撃者に任意のJavaコードをサーバー上にロードさせます.

マジェントlog 4 j

あなたがAdobe Commerce Installationを持っているとき、この脆弱性をもたらすかもしれない最も可能なソフトウェアは弾性検索です.別のサーバーまたはコンテナでそれを持っているならば、あなたはそのサーバーを最初にチェックするかもしれません.
たとえば、Magemojo、Ecritel、WebScaleまたはプラットフォームをサポートしている場合.shは、できるだけ早くそれらに連絡してください.AWSまたはDigital Oceanであなた自身のサーバーを持って、あなたのサーバーがパッケージを更新したことを確認してください.あなたが持っている必要があるメイン更新パッケージは、弾性検索です.
お使いのサーバーを更新するには、あなたのmagentoも更新しておく必要があります、Magentoの最後の安定版は、PHPのような、サーバーのパッケージのバージョンと同様に、エラスティックサーチなど、あなたのアップグレードを計画していない場合、let’s create one for you.

弾性検索

エラスティックサーチ5、6または7を使用する場合は、今日起動されたバージョン(2021年12月13日)を使用するように更新する必要があります.あなたが弾力検索をアップグレードしている間、攻撃を緩和するために、以下のJVMオプションをセットする必要があります.

-Dlog4j2.formatMsgNoLookups=true

絶え間なく

今のところ、確実に一般的なWAF規則をまだ配備していません、あなたがこれに対して緩和したいならば、ステージングとテストに関してthis VCLを展開して、それからprodに配備してください.

どのようにそれを検出するには？

最も簡単な方法は以下のスクリプトを実行することです.サーバーに脆弱性がある場合は、Grypeという2番目のツールを実行することができます.

自動チェック

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O - |bash

または手動チェック

疑わしい名前でファイルを見つける

locate log4j|grep -v log4js;

インストールされていればlib log 4 jを探します.

dpkg -l|grep log4j;

チェックされたフォルダのjar/war/earの場合、Javaがインストールされているかどうかを調べます

which java

それをチェックしていただきありがとうございます.