Log4jとは何ですか？

ログ4j は、によって開発およびリリースされたロギング機能用のオープンソースJavaライブラリです。 Apache Foundation グループ。 このようなライブラリは、いくつかのライブラリに含まれているため、Javaアプリケーションでグローバルに使用される多くのアプリケーションやサービスの依存関係として使用されます。 Apacheフレームワーク ような アパッチストラット2, Apache Solr, アパッチドルイド, ApacheFlink 及び アパッチスウィフト、だけでなく、によって使用される ネッティー, マイバティス と 春のフレームワーク.

Log4jの脆弱性とは何ですか？

検証されていないユーザー入力を影響を受けるバージョンのLog4jロギングライブラリに渡す場合、アプリケーションは脆弱です。 Log4jの脆弱性により、バージョンからの認証なしでリモートコードを実行できます 2.0-beta9 〜へ 2.14.1。 以下では、Log4jの脆弱性がどのように悪用されるかについて説明します。

Log4j軽減のための優先アクション

Log4jインスタンスがわかっている場所に最新の更新をインストールします。 最初のステップは、組織内のLog4jインスタンスを検出し、公式リポジトリから最新の更新を適用することです。

デプロイされたアプリケーションを保護するために、WAFポリシールールを適用します。 組織でWebアプリケーションファイアウォールを使用すると、この脆弱性の悪用の監視とブロックを改善できます。 URLに「jndi：ldap」などの文字列が含まれているリクエストは必ずブロックしてください。 バリアントは現在のWAFルールをバイパスする可能性があることに注意してください。そうしないと、そのようなLDAP機能が使用されているアプリケーションは使用できなくなります。 それらを更新してください。

Log4jを軽減するためのWebアプリケーションファイアウォールとしてZEVENETを使用することを検討してください。

ZEVENETはLog4jの脆弱性の影響を受けますか？

ZEVENETアプライアンスまたは公共サービス 影響を受けません Apacheフレームワークが使用されていないため。

ZEVENETWebアプリケーションファイアウォールを使用してLog4jの脆弱性からアプリケーションを保護する方法

アプリケーションの仮想サービスまたはファームが作成されたら、WAFルールを作成するために次の手順を適用します。

新しいルールセットを作成する
新しいを作成します アクション 新しいルールセットのルール。 ルールの構成は次のようになります。

     解決策：拒否（リクエストをカットし、ルールを実行しないでください）
     フェーズ：リクエストヘッダーが受信されます

次の構成でルールに条件を作成します。

     変数：REQUEST_URI、REQUEST_HEADERS
     変換：小文字、urlDecodeUni
     演算子：strContains
     動作中：jndi：ldap

最後に、ルールセットを開始して、目的のファームに適用します。

このルールセットでは、URLとヘッダーが分析されて脆弱な文字列を探すすべてのHTTPリクエストに注意してください。