【发布时间】:2022-01-17 01:44:07
【问题描述】:
我最近阅读了 Log4J 中的 zero-day 问题。我使用了一些使用 .NET 编写的应用程序,它们使用基于 Log4j 的 log4net 日志库。
log4net 是否存在与 Log4j 的CVE-2021-44228 漏洞类似的安全漏洞?
【问题讨论】:
标签: java c# security log4j log4net
【发布时间】:2022-01-17 01:44:07
【问题描述】:
Vulnerability Details: CVE-2021-44228(CVE 详细信息)和 CVE-2021-44228(CVE)有以下说明:
请注意,此漏洞是 log4j-core 特有的,不 影响 log4net、log4cxx 或其他 Apache 日志服务项目。
所以,不。 Log4Net 很好。
【讨论】:
显然它必须使用JNDI 和JVM。如果不使用这些端口,则端口是明确的。
【讨论】:
不,它特定于 Log4j-core。请参阅CVE-2021-44228 Detail (NIST)。
【讨论】:
很久以前,当我发现我用来访问数据库的 C++ 包只是 Java 代码的包装器时,我正在编写 C++。
安全漏洞存在于 Log4j 的纯 Java 核心部分中并不意味着 Log4Net 没有漏洞且安全。它也可能存在其他安全问题。
事实上,任何软件都可能存在漏洞,而且很可能也存在漏洞。这不仅仅是 Log4j 或 Log4net 的问题,而是我们快速接受并信任的任何包的问题。
【讨论】:
-
对如何避免引入易受攻击的软件包有任何想法吗?考虑到它们的使用数量,审查它们似乎是压倒性的。
-
一个很好但很难回答的问题。根据公司的规模,您可以让渗透测试人员尝试寻找漏洞。他们可能更有效地发现漏洞,并且更了解软件包中的现有漏洞。另一种方法是提高现场开发人员的意识,您可以如何插入漏洞,这也将帮助您更快地找到它们。
-
@MerkleGroot 另外,将第 3 方库代码放在一个简单的抽象后面(简单如下:旨在只为您提供您认为至关重要的几件事),并使用依赖倒置,以便您如果需要,可以轻松地将库取出。
-
一般来说,我同意我们应该质疑与第三方软件安全漏洞有关的一切。但是,我的问题是针对 CVE-2021-44228。
log4net 是否存在与 Log4j 的 CVE-2021-44228 漏洞类似的安全漏洞?
我不这么认为。如果他们这样做了,那将是一个巧合。我不认为他们共享代码。