Log4j 安全违规漏洞对 log4net 有影响吗？

Posted 2023-04-12

【中文标题】Log4j 安全违规漏洞对 log4net 有影响吗？

【英文标题】：Does the Log4j security violation vulnerability affect log4net?

【发布时间】：2022-01-17 01:44:07

【问题描述】：

我最近阅读了 Log4J 中的 zero-day 问题。我使用了一些使用 .NET 编写的应用程序，它们使用基于 Log4j 的 log4net 日志库。

log4net 是否存在与 Log4j 的CVE-2021-44228 漏洞类似的安全漏洞？

【问题讨论】：

security.stackexchange.com/questions/257873/…

【参考方案1】：

Vulnerability Details: CVE-2021-44228（CVE 详细信息）和 CVE-2021-44228（CVE）有以下说明：

请注意，此漏洞是 log4j-core 特有的，不 影响 log4net、log4cxx 或其他 Apache 日志服务项目。

所以，不。 Log4Net 很好。

【参考方案2】：

显然它必须使用JNDI 和JVM。如果不使用这些端口，则端口是明确的。

Does CVE-2021-44228 impact Log4j ports?

【参考方案3】：

不，它特定于 Log4j-core。请参阅CVE-2021-44228 Detail (NIST)。

【参考方案4】：

很久以前，当我发现我用来访问数据库的 C++ 包只是 Java 代码的包装器时，我正在编写 C++。

安全漏洞存在于 Log4j 的纯 Java 核心部分中并不意味着 Log4Net 没有漏洞且安全。它也可能存在其他安全问题。

事实上，任何软件都可能存在漏洞，而且很可能也存在漏洞。这不仅仅是 Log4j 或 Log4net 的问题，而是我们快速接受并信任的任何包的问题。

【讨论】：

对如何避免引入易受攻击的软件包有任何想法吗？考虑到它们的使用数量，审查它们似乎是压倒性的。

一个很好但很难回答的问题。根据公司的规模，您可以让渗透测试人员尝试寻找漏洞。他们可能更有效地发现漏洞，并且更了解软件包中的现有漏洞。另一种方法是提高现场开发人员的意识，您可以如何插入漏洞，这也将帮助您更快地找到它们。

@MerkleGroot 另外，将第 3 方库代码放在一个简单的抽象后面（简单如下：旨在只为您提供您认为至关重要的几件事），并使用依赖倒置，以便您如果需要，可以轻松地将库取出。

一般来说，我同意我们应该质疑与第三方软件安全漏洞有关的一切。但是，我的问题是针对 CVE-2021-44228。

【参考方案5】：

log4net 是否存在与 Log4j 的 CVE-2021-44228 漏洞类似的安全漏洞？

我不这么认为。如果他们这样做了，那将是一个巧合。我不认为他们共享代码。

【讨论】：

见cvedetails.com/vulnerability-list/vendor_id-45/product_id-7281/…。