Một lỗ hổng có tác động cao đã được phát hiện trong Apache Log4j 2, một thành phần phần mềm được triển khai rộng rãi được nhiều ứng dụng Java sử dụng để tạo điều kiện ghi nhật ký. Kẻ tấn công có thể kiểm soát thông báo nhật ký hoặc các thông số của chúng có thể khiến ứng dụng thực thi mã tùy ý. Trong Ubuntu, Apache Log4j2 được đóng gói theo gói nguồn apache-log4j2 – gói này đã được vá để giải quyết lỗ hổng này như được nêu chi tiết trong USN-5192-1 (14/12) và USN-5197-1 (15/12). Lỗ hổng này đã được gán CVE-2021-44228, CVE-2021-45046 và CVE-2021-45105 .
Để áp dụng tất cả các bản sửa lỗi có sẵn cho hệ thống Ubuntu của bạn, hãy nhập các lệnh sau vào một thiết bị đầu cuối:
$ sudo ua fix CVE-2021-44228 $ sudo ua fix CVE-2021-45046 $ sudo ua fix CVE-2021-45105
Để ý việc sử dụng gói Apache Log4j 2
Việc sử dụng rộng rãi gói Apache Log4j 2, cũng như các quy ước đóng gói của nền tảng Java, đã làm cho việc giải quyết lỗ hổng bảo mật đó (nói chung của ngành bảo mật) trở nên không hề nhỏ. Lý do là phần mềm này không chỉ hiện diện trong Ubuntu dưới dạng một thành phần đóng gói, mà các bản sao riêng biệt của phần mềm này cũng thường được đóng gói trực tiếp trong các ứng dụng phổ biến. Đặc biệt, yếu tố thứ hai là điều làm cho nhiệm vụ xác định xem một ứng dụng hoặc hệ thống cụ thể có dễ bị tấn công hay không trở nên khá khó khăn. Cần phải kiểm tra từng ứng dụng riêng lẻ để tìm xem các ứng dụng có dễ bị tấn công bằng cách “tách nhóm” chúng ra hay bằng cách sử dụng liệt kê phần mềm đã cài đặt. Chỉ cập nhật phiên bản đóng gói Ubuntu của thành phần phần mềm này có thể không đủ để đảm bảo rằng tất cả các ứng dụng sử dụng Apache Log4j 2 đều được khắc phục. Để liệt kê ta sử dụng:
$ sudo find / -name "log4j" hoặc $ sudo apt list --installed | grep log4j
Cách kiểm tra Server có bị tấn công bởi Log4j (Log4Shell) hay không
Một trong những cách dễ sử dụng nhất là tập lệnh bash đơn giản này, nó có thể quét các gói trong máy bạn và xác định các phiên bản log4j và cũng có thể cho bạn biết liệu hệ thống của bạn có đang sử dụng Java hay không. Trong hầu hết các trường hợp, bạn sẽ cần chạy nhiều lần quét với các tập lệnh khác nhau, vì không có gì đảm bảo rằng các tập lệnh này sẽ hiệu quả 100% trong việc xác định mọi hệ thống dễ bị tấn công.
Bạn có thể tải xuống và chạy nó bằng một vài lệnh. Bạn cũng cần chạy lệnh dưới quyền root để quét toàn bộ hệ thống của bạn.
wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q chmod +x log4j_checker_beta.sh sudo ./log4j_checker_beta.sh
Khuyến nghị
Khuyến nghị người dùng và khách hàng của mình nhận các bản cập nhật bảo mật phần mềm mới nhất từ Canonical và xác minh rằng bất kỳ phần mềm Java nào của bên thứ 3 mà họ đang sử dụng không đóng gói các gói log4j.
Nguồn: sưu tầm và tổng hợp