Log4j 安全违规漏洞对 log4net 有影响吗?
Posted
技术标签:
【中文标题】Log4j 安全违规漏洞对 log4net 有影响吗?【英文标题】:Does the Log4j security violation vulnerability affect log4net? 【发布时间】:2022-01-17 01:44:07 【问题描述】:我最近阅读了 Log4J 中的 zero-day 问题。我使用了一些使用 .NET 编写的应用程序,它们使用基于 Log4j 的 log4net 日志库。
log4net 是否存在与 Log4j 的CVE-2021-44228 漏洞类似的安全漏洞?
【问题讨论】:
security.stackexchange.com/questions/257873/… 【参考方案1】:Vulnerability Details: CVE-2021-44228(CVE 详细信息)和 CVE-2021-44228(CVE)有以下说明:
请注意,此漏洞是 log4j-core 特有的,不 影响 log4net、log4cxx 或其他 Apache 日志服务项目。
所以,不。 Log4Net 很好。
【讨论】:
【参考方案2】:显然它必须使用JNDI 和JVM。如果不使用这些端口,则端口是明确的。
Does CVE-2021-44228 impact Log4j ports?
【讨论】:
【参考方案3】:不,它特定于 Log4j-core。请参阅CVE-2021-44228 Detail (NIST)。
【讨论】:
【参考方案4】:很久以前,当我发现我用来访问数据库的 C++ 包只是 Java 代码的包装器时,我正在编写 C++。
安全漏洞存在于 Log4j 的纯 Java 核心部分中并不意味着 Log4Net 没有漏洞且安全。它也可能存在其他安全问题。
事实上,任何软件都可能存在漏洞,而且很可能也存在漏洞。这不仅仅是 Log4j 或 Log4net 的问题,而是我们快速接受并信任的任何包的问题。
【讨论】:
对如何避免引入易受攻击的软件包有任何想法吗?考虑到它们的使用数量,审查它们似乎是压倒性的。 一个很好但很难回答的问题。根据公司的规模,您可以让渗透测试人员尝试寻找漏洞。他们可能更有效地发现漏洞,并且更了解软件包中的现有漏洞。另一种方法是提高现场开发人员的意识,您可以如何插入漏洞,这也将帮助您更快地找到它们。 @MerkleGroot 另外,将第 3 方库代码放在一个简单的抽象后面(简单如下:旨在只为您提供您认为至关重要的几件事),并使用依赖倒置,以便您如果需要,可以轻松地将库取出。 一般来说,我同意我们应该质疑与第三方软件安全漏洞有关的一切。但是,我的问题是针对 CVE-2021-44228。【参考方案5】:log4net 是否存在与 Log4j 的 CVE-2021-44228 漏洞类似的安全漏洞?
我不这么认为。如果他们这样做了,那将是一个巧合。我不认为他们共享代码。
【讨论】:
见cvedetails.com/vulnerability-list/vendor_id-45/product_id-7281/…。以上是关于Log4j 安全违规漏洞对 log4net 有影响吗?的主要内容,如果未能解决你的问题,请参考以下文章
全球近一半企业受到影响,Apache Log4j 2 漏洞或将长存