कैसे जांचें कि आपका Linux सर्वर Log4j के लिए असुरक्षित है?

Log4j एक गंभीर भेद्यता है जो आईटी परिदृश्य में तेजी से फैल गई है। यहां एक एकल कमांड है जिसे आप परीक्षण करने के लिए चला सकते हैं और देख सकते हैं कि क्या आपके पास कोई कमजोर पैकेज स्थापित है।

खुला स्रोत सुरक्षा

छवि: शटरस्टॉक / लियोवोल्फर्ट

Log4j भेद्यता गंभीर व्यवसाय है। इस जीरो-डे दोष Log4j पुस्तकालय को प्रभावित करता है और एक हमलावर को एक सिस्टम पर मनमाने कोड को निष्पादित करने की अनुमति दे सकता है जो लॉग संदेश लिखने के लिए Log4j पर निर्भर करता है।

देखो: 40+ ओपन सोर्स और लिनक्स शब्द जिन्हें आपको जानना आवश्यक है (टेक रिपब्लिक प्रीमियम)

इस भेद्यता का उच्चतम सीवीएसएस स्कोर 10.0 है, इसलिए आपको ध्यान देने की आवश्यकता है। बड़ी समस्याओं में से एक यह जानना है कि क्या आप असुरक्षित हैं। Log4j को तैनात करने के कई तरीकों से यह जटिल है। क्या आप इसे जावा प्रोजेक्ट के हिस्से के रूप में उपयोग कर रहे हैं, क्या यह एक कंटेनर में लुढ़का हुआ है, क्या आपने इसे अपने वितरण पैकेज मैनेजर के साथ स्थापित किया है, और (यदि हां) तो आपने कौन से log4j पैकेज स्थापित किए हैं? या आपने इसे स्रोत से स्थापित किया है? इस वजह से, हो सकता है कि आपको पता भी न चले कि आपका सर्वर असुरक्षित है या नहीं।

सौभाग्य से, Linux सर्वर के लिए, GitHub उपयोगकर्ता, रूबो77 एक स्क्रिप्ट बनाई जो उन पैकेजों की जांच करेगी जिनमें कमजोर Log4j इंस्टेंस शामिल हैं। यह बीटा में है, और यह 100% नहीं है, लेकिन यह शुरू करने के लिए एक शानदार जगह है। समझें, यह स्क्रिप्ट उन जार फ़ाइलों के लिए परीक्षण नहीं करती है जो अनुप्रयोगों के साथ पैक की गई थीं, इसलिए इसे अपनी फोरेंसिक शुरू करने के लिए लॉन्चिंग बिंदु से ज्यादा कुछ न समझें।

मैंने इस स्क्रिप्ट का एक सर्वर के खिलाफ परीक्षण किया था जो मुझे पता था कि एक कमजोर Log4j पैकेज स्थापित है, और इसने इसे सही ढंग से टैग किया है। यहां बताया गया है कि आप अपने लिनक्स सर्वर पर उसी स्क्रिप्ट को कैसे चला सकते हैं, यह पता लगाने के लिए कि क्या आप असुरक्षित हो सकते हैं। अपने सर्वर में लॉग इन करें और कमांड जारी करें:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O - | bash

यदि आपका सर्वर असुरक्षित है तो कमांड का आउटपुट आपको कुछ संकेत देगा। जैसा कि आप देख सकते हैं (चित्रा ए), मेरे उदाहरण में liblog4j2-java संस्करण 2.11.2-1 शामिल है, जिसमें भेद्यता शामिल है। उस स्थिति में, मुझे तुरंत 2.15.0 में अपग्रेड करना चाहिए। यदि यह उपलब्ध नहीं है, तो समस्या तब तक बनी रहेगी जब तक कि पैकेज पैच न हो जाए।

चित्रा ए

log4jb.jpg

मेरा परीक्षण सर्वर Log4j समस्या के प्रति संवेदनशील है।

याद रखें, यह स्क्रिप्ट कोई गारंटी नहीं है, बल्कि शुरू करने के लिए एक अच्छी जगह है। यहां तक ​​​​कि अगर यह कहने के लिए वापस आता है कि आपका सर्वर असुरक्षित नहीं है, तो यह सुनिश्चित करने के लिए खुदाई करते रहें कि आपने इस भेद्यता की चपेट में आने से बचने के लिए हर आवश्यक पैकेज को अपडेट किया है।

TechRepublic की सदस्यता लें YouTube पर टेक कार्य कैसे करें जैक वालेन से व्यावसायिक पेशेवरों के लिए सभी नवीनतम तकनीकी सलाह के लिए।

यह भी देखें

Leave a Reply

Your email address will not be published.

%d bloggers like this: